Разработка алгоритмов безопасной маршрутизации пакетов сообщений через глобальную информационную сеть
SUMMARY
aim of this graduation research is the secure packet WAN
routing logic design on the basis of existing devices, but which have
significant deficiencies, or the are not acceptable in these or other cases,
depending on the choices of net connections. The above mentioned refers to the
field of infrocommunications and can be used for making and developing the new
net connections commonly networked. (e. g. internet)there is “The way and the
system of advancing transporting canals with guaranteed quality of the net service,
working with reports” The imperfection of this device is poor adaptation to the
changes of the structure of net connection and also the faint usage the
qualities of the conditions of the net resource for choosing the way to
forwarding streams.some other ways of secure sending the blocks of reports. I
must mention, that this analysis has showed, that there are no any analogies of
the describing device that indicates for the claimed way of patent condition.
In this graduation research the claimed device is illustrated by the drawings.
There are block tables of the algorithm realization, commenting during the
report.economic proof of the utility, examining in this research is guided on
the proving the urgency of the subject researches for solving the application
tasksthe development the science and technology and also on the estimate of the
scientific and technical level of obtained results.following order of the
department of the economic proof is observed.
1. the economic proof conception
2. labor intensiveness and schedule of the research
effort running
. the outlay of the consumptions for carrying out
research effort.
. The total estimate of the efficiency research
effort.
The last part of the graduation thesis is the chapter,
devoted to the cogitative property, in which the legal patent aspects are
viewed. The result of the project is considered to be an application for
developing-method.at the end of the graduation research there are common
conclusions about the done work in the form of small notes, repeating the main
sections with the short explanation where the urgency of the carried out work
is under coursed.
СОДЕРЖАНИЕ
SUMMARY
ПЕРЕЧЕНЬ
УСЛОВНЫХ ОБОЗНАЧЕНИЙ
ВВЕДЕНИЕ
. ОБОСНОВАНИЕ
НЕОБХОДИМОСТИ РАЗРАБОТКИ АЛГОРИТМОВ БЕЗОПАСНОЙ МАРШРУТИЗАЦИИ ПАКЕТОВ СООБЩЕНИЙ
ЧЕРЕЗ ГЛОБАЛЬНУЮ ИНФОРМАЦИОННУЮ СЕТЬ
.1 Основные
понятия и определения
.2 Сетевые
технологии на примере глобальной сети Internet
.3 Проблема
защиты передаваемой информации по сети
.4 Постановка
задачи
Выводы по
разделу
. АНАЛИЗ
СУЩЕСТВУЮЩИХ СПОСОБОВ БЕЗОПАСНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ В СЕТИ СВЯЗИ
.1 Способ и
система продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающая с протоколом IP
.2 Способ
корректировки маршрутов в сети передачи данных
.3 Способ
выбора целесообразным образом используемого маршрута в маршрутизаторе для
равномерного распределения в коммутационной сети
Выводы по
разделу
.
АЛГОРИТМИЗАЦИЯ ЗАДАЧ БЕЗОПАСНОЙ МАРШРУТИЗАЦИИ ПАКЕТОВ
.1 Модель
первого алгоритма безопасной маршрутизации
.2 Модель
второго алгоритма безопасной маршрутизации
.3 Модель
третьего алгоритма безопасной маршрутизации
.4 Модель
четвертого алгоритма безопасной маршрутизации
.5 Модель
пятого алгоритма безопасной маршрутизации
.6 Работа
алгоритмов безопасной маршрутизации
Выводы по
разделу
.
ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ
.1 Концепция
экономического обоснования проведенной работы
.2
Трудоемкость и календарный план
.3 Смета
затрат
.4 Расчет
себестоимости
.5
Комплексная оценка эффективности проведенной работы
Выводы по
разделу
. ОХРАНА ИНТЕЛЛЕКТУАЛЬНОЙ
СОБСТВЕННОСТИ
.1
Определение интеллектуальной собственности
.2 Объекты
интеллектуальной собственности
.3 Личные
неимущественные права интеллектуальной собственности
.4
Имущественные права интеллектуальной собственности
.5 Результаты
разработки технического решения
ДОГОВОР
УСТУПКИ ПРАВ НА ИНТЕЛЛЕКТУАЛЬНУЮ СОБСТВЕННОСТЬ
ЗАКЛЮЧЕНИЕ
СПИСОК
ЛИТЕРАТУРЫ
ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ
ИБ - информационная
безопасность
ЭМВОС - эталонная модель
взаимодействия открытых систем
НСД - несанкционированный
доступ
НСВ - несанкционированное
воздействие
ПО - программное
обеспечение
ОС - операционная система
ЭВМ - электронная
вычислительная машина
МЭ - межсетевой экран
СБ - сервер безопасности
ДЛ - должностное лицо
СВТ - средство
вычислительной техники
РД - руководящий документ
ЗИ - защита информации
РС - развивающаяся
система
СЗИ - средство защиты
информации
АРМ - автоматизированное
рабочее место
ЛВС - локальная
вычислительная сеть
ПЭВМ - персональная
электронная вычислительная машина
ЛС - локальный сегмент
СС - сеть связи
ИП - информационный поток
СПД - сеть передачи
данных
ВВЕДЕНИЕ
Информационная безопасность является одним из важнейших аспектов
интегральной безопасности, на каком бы уровне, мы ни рассматривали последнюю:
национальном, отраслевом, корпоративном или персональном.
При анализе проблематики, связанной с информационной безопасностью,
необходимо учитывать специфику данного аспекта безопасности, состоящую в том,
что информационная безопасности есть составная часть информационных технологий
- области, развивающейся беспрецедентно высокими темпами. Здесь важны не
столько отдельные решения (законы, учебные курсы, программно-технические
изделия), находящиеся на современном уровне, сколько механизмы генерации новых
решений, позволяющие жить в темпе технического прогресса.
Информационная безопасность сейчас это не только крайне важная, но и
весьма модная и прибыльная (причем не только в чисто материальном плане)
область деятельности. Вполне естественно, что здесь сталкиваются интересы
многих ведомств, компаний и отдельных людей, идет энергичная борьба за сферы
влияния, а порой и за выживание.
Подключение организации к глобальной сети, такой как Internet,
существенно увеличивает эффективность работы организации и открывает для нее
множество новых возможностей. В то же время, организации необходимо позаботится
о создании системы защиты информационных ресурсов, от тех, кто захочет их
использовать, модифицировать либо просто уничтожить. Несмотря на свою
специфику, система защиты организации при работе в глобальных сетях должна быть
продолжением общего комплекса усилий, направленных на обеспечение безопасности
информационных ресурсов.
Как известно, один из важных этапов проведения несанкционированных
действий по отношению к какому-либо объекту - это сбор информации, анализ
объекта и изучение поведения «жертвы». Пассивное определение характеристик
удаленной системы - это метод изучения противника незаметно для последнего. В
частности, можно определить роль объекта, его структуру, место в общей
структуре, топологию, информацию об оборудовании: тип операционной системы, тип
и производителя оборудования, другие технические характеристики, используя
только общедоступные сервисы и утилиты, а так же результаты перехвата пакетов
путём подмены IP адреса и ложных маршрутизаторов.
Несмотря на то, что это не дает 100% точности и объёма необходимой информации,
можно получить критическую информацию.
В сложившейся ситуации, необходимо искать новые подходы к обеспечению
информационной безопасности. Одним из таких направлений является управление
маршрутами информационного обмена абонентов в сети связи.
1. ОБОСНОВАНИЕ НЕОБХОДИМОСТИ РАЗРАБОТКИ АЛГОРИТМОВ БЕЗОПАСНОЙ
МАРШРУТИЗАЦИИ
.1 Основные понятия и определения
Для получения требуемой конфигурации сети связи используются:
· приемопередатчики или трансиверы (tranceivers);
· повторители или репитеры (repeaters);
· концентраторы, распределители (hubs), устройства
коллективного доступа MAU (Multistation Access Unit).
· Для объединения нескольких локальных сетей применяются:
· мосты (bridges);
· маршрутизаторы (routers);
· шлюзы (gateways).
Трансиверы (приемопередатчики) служат для двунаправленной передачи между
адаптером и сетевым кабелем или между двумя сегментами (отрезками) сетевого
кабеля.
Основные их функции:
· усиление сигналов;
· преобразование сигналов в другую форму.
Если трансивер производит преобразование электрических сигналов в
какие-нибудь другие (оптические, радио, инфракрасные), то его часто называют
конвертором среды. Чаще всего применяют оптоволоконные трансиверы, использование
которых позволяет значительно увеличить допустимую длину кабеля сети добиться
высокой помехоустойчивости и секретности. Оптическая передача осуществляется по
двум однонаправленным оптоволоконным кабелям.
Оптоволоконный трансивер FOIRL (Fiber-Optic Inter-Repeater Link) может
использоваться как для подключения удаленного абонента, так и для соединения
двух сегментов сети.
Функции повторителей (репитеров) проще, чем у трансиверов. Это только
восстановление формы сигнала, искаженной прохождением в длинной линии. Они
служат простыми двунаправленными ретрансляторами. Основная их цель - увеличение
длины сети.
Ни трансиверы, ни повторители не производят абсолютно никакой обработки
пакетов, т.е. с этой точки зрения это абсолютно пассивные устройства.
Концентраторы (hubs)
используются для подключения нескольких абонентов сети. Делятся на активные и
пассивные.
Пассивные (репитерные) концентраторы выполняют функцию собранных в одном
месте в единый конструктив нескольких повторителей или трансиверов. Никакой
обработки информации они не производят, а только восстанавливают и усиливают
сигналы (могут также преобразовывать электрические сигналы в оптические и
наоборот). Преимущества такого подхода заключается в следующем.
Все важные точки сети собираются в одном месте. Это облегчает
реконфигурацию сети, ее обслуживание, поиск неисправностей.
Отдельные сегменты могут быть выполнены на разных средах, например, на
«тонком» и «толстом» коаксиальном кабеле, на оптоволоконном кабеле.
Физически теперь сеть похожа на «звезду» (пассивная звезда), но логически
остается шиной.
Активные концентраторы выполняют более сложные функции. Они могут
осуществлять преобразование информации или протоколов обмена. Часто такие
концентраторы используются в сетях типа «кольцо». Здесь концентратор выступает
как равноценный абонент кольцевой сети. При этом все абоненты, подключенные к
нему, работают, по сути, в отдельной сети с концентратором типа «звезда», но
имеют доступ и к главному кольцу.
В отдельный тип часто выделяют коммутирующие концентраторы или
коммутаторы. Они распознают адрес пакета и только в случае необходимости
пересылают его в другой сегмент, Это позволяет снизить интенсивность обмена в
сети.
Мосты, маршрутизаторы и шлюзы служат для объединения в единую сеть
нескольких разнородных сетей, использующих разные протоколы нижнего уровня. Это
обеспечивает «прозрачность» сети для протоколов высокого уровня. В связи со
сложными функциями они обычно реализуются на базе ПК.
Назначение моста (bridge) - организация обмена между сетями с разными
стандартами обмена (Ethernet, Token Ring, Arcnet и т. д.), как это показано на
рисунке.
Мосты принимают поступающие пакеты целиком, а не только их адресную
часть, и в случае необходимости производят их обработку.
С помощью моста могут объединяться и сегменты одной сети (например,
Ethernet). В этом случае каждая из сетей работает со своими пакетами и только
при необходимости пакеты передаются в другую сеть через мост.
Маршрутизаторы (routers) применяются только в сильно разветвленных сетях,
где имеется несколько параллельных маршрутов для передачи.
Эти устройства не преобразуют протоколы нижнего уровня, поэтому их
используют только для связи однородных сетей. Их функция - выбрать оптимальный
путь (маршрут) для каждого пакета. Это делается для избежания чрезмерной
загрузки отдельных сегментов сети, а также для обхода поврежденных участков.
Гибридные маршрутизаторы (brouters) представляют собой гибрид моста и
маршрутизатора.
Шлюзы (gateways) служат для соединения совершенно разных сетей, например,
локальных сетей с глобальными, или локальных сетей с мейнфреймами,
использующими совершенно другие правила обмена. В этом случае полностью
преобразуется весь поток информации, т. е. коды, форматы, методы управления и
т.д.
.2 Сетевые технологии на примере глобальной сети Internet
Интернет - это все сети, которые взаимодействуя с помощью протокола IP,
образуют "бесшовную" сеть для своих пользователей. В настоящее время
в Интернет входят десятки тысяч сетей и их число постоянно увеличивается.
Интернет - это сеть с коммутацией пакетов. В одном пакете может быть
послано до 65535 байт информации. Каждый пакет (IP-пакет) снабжается адресами
отправителя и получателя (см. рис. 1.1).
Рис. 1.1
В наиболее распространенной в настоящее время версии 4 протокола (IPv4)
на каждый из адресов отводится поле в 32 бита. Однако, для удобства
использования каждый байт адреса записывается в виде десятичной цифры (от 0 до
255). Каждая группа отделяется от следующей точкой (.).
Так как людям удобнее пользоваться символическими именами в дальнейшем
была внедрена доменная иерархическая система имен, допускающая произвольное
количество составных частей (см. рис. 1.2).
Такая
система аналогична иерархии имен файлов. Дерево начинается с точки (.),
обозначающей корень. Затем идут, отделяемые точкой, части символической записи
имени. Количество уровней не лимитируется, но редко бывает более 5. Например:
www.microsoft.com., ftp.asoiu.eltech.ru.
Рис.
1.2
Совокупность
имен, у которых старшие части совпадают, образуют домен (domain). Компьютеры,
входящие в домен, могут иметь совершенно различные IP-адреса.
Например,
домен mgu.ru может содержать компьютеры с адресами:
.13.34.15
.22.100.33
.0.0.6
Корневой
домен (1-го уровня) управляется в Интернет центром InterNIC (центр сетевой
информации). Для этого разработан стандарт ISO 3266. В соответствии с ним
введены двух- или трехбуквенные аббревиатуры для стран и различных типов
организаций.
Для
верхнего доменного уровня было изначально введено 6 групп высшего уровня: edu -
учебные заведения (США); gov - правительственные учреждения США (кроме
военных); com - коммерческие организации; mil - военные учреждения (США); org -
прочие организации; net - сетевые ресурсы.
По
мере роста сети появилась необходимость введения специальной службы - DNS
(Domain Name System) - системы доменных имен. Служба DNS использует в своей
работе протокол типа «клиент- сервер» (client - server). DNS-серверы содержат
распределенную базу отображений. DNS-клиенты обращаются к этим серверам с
запросами об отображении доменного имени в IP-адрес.
Каждый
DNS-сервер кроме таблицы отображения имен содержит ссылки на DNS-серверы своих
поддоменов. DNS-серверы применяют (для сокращения времени поиска) процедуру
кэширования проходящих через них ответов. Сведения сохраняются на срок от
нескольких часов, до нескольких дней.
Иерархию
протоколов сети Интернет называют стеком TCP/IP.
Структурно
стек TCP/IP делится на 4 уровня (см. рис. 1.3):
Рис
1.3: 1 - прикладной; 2 - транспортный; 3 - сетевой (межсетевого
взаимодействия); 4 - сетевых интерфейсов.
Верхний
(прикладной) уровень содержит все службы, предоставляемые системой
пользовательским приложениям. Он реализуется программными системами,
построенными в архитектуре «клиент - сервер». Этот уровень постоянно
расширяется за счет включения новых служб. К протоколам данного уровня
относятся:
FTP (File Transfer Protocol) - протокол передачи
файлов;(Trivial FTP) - простой протокол передачи файлов;- протокол эмуляции
удаленного терминала;
SMTP (Simple Mail Transfer Protocol) - простой почтовый протокол;(Simple
Network Management Protocol) - простой протокол управления сетью;(Domain Name System) - протокол разрешения имен;
HTTP
(HyperText Transfer Protocol) - гипертекстовый транспортный протокол и т. д.
Уровень
II (транспортный) обеспечивает взаимодействие между прикладными программами. Он
управляет потоком информации и отвечает за надежность передачи. На этом уровне
реализуется обнаружение ошибок, механизм подтверждения, повторной передачи
потерянных или искаженных пакетов.
На
уровне функционируют:
· Протокол управления передачей TCP, который обеспечивает надежную доставку
сообщений между удаленными системами за счет образования логических соединений.
Обмен осуществляется в дуплексном режиме. TCP делит данные на сегменты и
передает их IP-уровню.
· Протокол UDP (User Datagram Protocol) обеспечивает
дейтаграммную передачу пользуясь услугами протокола IP. Он выполняет функции
связующего звена (мультиплексора) между сетевым протоколом и службами
прикладного уровня.
· Протокол T/TCP (Transaction Transmission Control Protocol) -
протокол управления транзакциями. Был предложен недавно для поддержки передачи
транзакций в Internet.
Уровень III стека это уровень межсетевого взаимодействия, который
реализует концепцию передачи пакетов в режиме без установления соединения, и
является стержнем всей архитектуры TCP/IP. Для передачи используется тот
маршрут, который в данный момент представляется наиболее рациональным. Этот
уровень называют также уровнем internet в соответствии с его основной функцией
- передачей данных через составную сеть.
Уровень принимает от транспортного уровня пакет с указанием адреса
передачи. Пакет инкапсулируется в дейтаграмму, заполняется заголовок и при
необходимости используется алгоритм маршрутизации. Аналогично производится
прием дейтаграмм и передача пакетов транспортному протоколу.
В качестве основного протокола данного уровня используется протокол IP
(Internet Protocol).
К этому же уровню относятся протоколы маршрутизации, такие как:
RIP (Routing Internet Protocol);(Open Shortest Path
First);(Exterior Gateway Protocol);(Interior Gateway Protocol);(Address
Resolution Protocol);(Reverse Address Resolution Protocol) и т.д.
Уровень IV стека TCP/IP это уровень сетевых интерфейсов, который по своим
функциям соответствует физическому и канальному уровням модели OSI.
В стеке протоколов TCP/IP этот уровень не регламентируется. Он отвечает
за прием дейтаграмм и их передачу по конкретной сети. Для каждого типа сетей
должны быть разработаны соответствующие интерфейсные средства. Например, к
таким средствам относится протокол инкапсуляции IP-пакетов в кадры Ethernet (по
документу RFC 1042).
Каждый коммуникационный протокол оперирует с некоторой единицей
передаваемых данных. В TCP/IP сложилась определенная (традиционная)
терминология в этой области (см. рис. 1.4).
Потоком называют данные, поступающие на вход протоколов транспортного
уровня TCP и UDP.
Протокол TCP нарезает из потока данных сегменты.
Единицу данных протокола UDP часто называют дейтаграммой. Дейтаграмма -
это общее название для единиц данных, которыми оперируют протоколы без
установления соединения. К таким протоколам относится и протокол IP.
Рис. 1.4
Дейтаграмму протокола IP называют также пакетом. Единицы данных
протоколов, на основе которых IP-пакеты переносятся по сети, называют кадрами
(фреймами).
Протокол IP
Является базовым протоколом стека TCP/IP.
Формат дейтаграммы
Дейтаграмма (пакет) протокола имеет формат, показанный на рисунке 1.5.
Поле «номер версии» (4 бита) указывает сейчас почти повсеместно версию
IPv4, однако некоторые домены уже переходят на версию IPv6.
Поле «длина заголовка» (4 бита) указывает длину в 32-разрядных словах.
Обычная длина - 5 слов, однако за счет поля опций (options) она может
быть увеличена до 15 слов (60 байт).
Поле «тип сервиса» (8 бит) содержит:
Три бита PR, указывающие приоритет пакета (0 - нормальный; 7 - самый
высокий). Значение этого поля может приниматься во внимание маршрутизаторами.
Рис. 1.5
Биты D, T и R используются протоколами маршрутизации. Они задают критерий
выбора маршрута. D=1 - указывает на необходимость минимизации задержки при
доставке данного пакета. T=1 - показывает на желательность максимизации
пропускной способности. R=1 - указывает на необходимость обеспечения
максимальной надежности доставки. Два последних бита в этом поле зарезервированы.
Поле «общая длина» (2 байта) - это общая длина в байтах заголовка и поля
данных. Максимальная длина составляет 65535 байт. При передаче по разным сетям
длина пакета выбирается исходя из размера внутренней области кадра. На рисунке
показано такое размещение для сети Ethernet. По стандарту все устройства сети
Интернет должны быть готовы принимать дейтаграммы длиной 576 байт.
Передача дейтаграммы в кадре называется инкапсуляцией. Длина пакета
выбирается с учетом максимальной длины кадра протокола нижнего уровня, несущего
IP-пакеты. Для сети Ethernet - это 1500 байт, для FDDI - 4096 байт.
При необходимости протокол IP выполняет функции фрагментации и сборки.
Это разделение дейтаграммы на части и их последующее объединение. Фрагментация
осуществляется с учетом максимальной длины единицы передачи MTU (Maximum
Transmission Unit) конкретной сети. Формируемые маршрутизатором фрагменты
идентифицируются смещением относительно начала исходной дейтаграммы.
Поле «идентификатор пакета» (2 байта) используется для распознавания
пакетов, образованных в результате фрагментации исходного пакета. Все фрагменты
должны иметь одинаковое значение этого поля.
Поле «флаги» (3 бита) содержит:
Бит DF (Do not Fragment) = 1 запрещает маршрутизатору фрагментировать
данный пакет.
Бит MF (More Fragments) = 1 указывает на то, что данный пакет является
промежуточным (не последним) фрагментом.
Третий бит зарезервирован.
Поле «смещение фрагмента» (13 бит) задает смещение в байтах поля данных
этого пакета от начала общего поля данных исходного пакета, подвергнутого
фрагментации. Это смещение должно быть кратно 8.
Поле «время жизни» (1 байт) указывает предельный срок, в течении которого
пакет может перемещаться по сети. Задается в секундах. Каждый маршрутизатор
вычитает величину задержки (но не менее 1 сек.) из этой величины. Если параметр
становится равным нулю - пакет уничтожается. (Этот параметр можно считать
часовым механизмом самоуничтожения.) На практике каждый маршрутизатор просто
вычитает 1 из значения этого поля «Time to live», т.к. скорости в сети высокие
и время пересылки между узлами практически всегда не превышает 1 секунды.
Поле «протокол верхнего уровня» (1 байт) указывает, какому протоколу
предназначается информация, размещенная в поле данных пакета. Например: 6 - для
протокола TCP; 17 - протоколу UDP; 87 - протоколу OSPF и т.д.
Поле «контрольная сумма» (2 байта) применяется для защиты от ошибок
заголовка пакета. Это сумма по mod 8 всех 16-битовых слов заголовка. При
обнаружении маршрутизатором ошибки пакет отбрасывается.
Поля «адрес отправителя» и «адрес получателя» (по 32 бита).
Поле «опции» является необязательным. Используется обычно при отладке
сети. В этом поле может быть, например, указан точный маршрут прохождения
дейтаграммы по сети, содержаться временные отметки, данные о безопасности и
т.д.
Поле «выравнивание» - это дополнение (при необходимости) нулями до
полного 32-битового слова.
Основная функция протокола - это передача дейтаграммы от отправителя до
получателя через объединенную систему компьютерных сетей. В каждой очередной
сети, лежащей на пути перемещения пакета, протокол IP вызывает средства
транспортировки, принятые в этой сети, чтобы с их помощью передать этот пакет
на маршрутизатор, ведущий к следующей сети, или непосредственно на
узел-получатель. Протокол IP относится к протоколам без установления
соединения. Перед этим протоколом не ставится задача надежной доставки
сообщения от отправителя к получателю. Этот протокол обрабатывает каждый
IP-пакет как независимую единицу, не имеющую связи ни с какими другими
IP-пакетами. В протоколе нет механизмов, обеспечивающих достоверность передачи
(защищен только заголовок дейтаграммы). В протоколе отсутствует квитирование
(передача подтверждений), нет процедуры упорядочивания, повторных передач. При
обнаружении ошибок или истечении времени жизни маршрутизатор просто стирает
данный пакет. Все вопросы обеспечения надежности доставки решает протокол TCP,
работающий непосредственно над протоколом IP. В узле-отправителе задача
фрагментации поступающих с прикладного уровня сообщений возлагается на протокол
TCP. На промежуточных же узлах фрагментацию должен обеспечивать сам протокол
IP. Это делается, если нужно передать пакет в следующую сеть, где используется
меньший размер поля данных протокола канального уровня.
Рис. 1.6
В большинстве локальных и глобальных сетей значения MTU (максимальная
единица передачи) значительно отличаются. Сеть Ethernet имеет MTU=1500 байт,
для сети FDDI значение MTU=4096 байт, сети же Х.25 чаще всего работает с
MTU=128 байт.пакет может быть помечен при передаче как нефрагментируемый (бит
DF=1). Это означает для маршрутизаторов запрет этой операции. Если такой пакет
поступает в сеть с меньшим MTU, то он просто уничтожается, а узлу-отправителю
отправляется ICMP-сообщение. Фрагментирование может выполняться и средствами
самой сети. Так поступает, например, сеть ATM, которая с помощью уровня AAL
(ATM Adaptation Layer) делит поступающие IP-пакеты на 48-байтовые фрагменты (в
ATM размер ячейки равен 53 байтам), а затем вновь их собирает. Поле
«идентификатор пакета» (2 байта) используется получателем для сборки
фрагментов, относящихся к определенному пакету. Поле «смещение фрагмента» (13
бит) сообщает получателю положение фрагмента во исходном пакете. Флаг MF=0
указывает на то, что данный фрагмент является последним. При фрагментации
модуль IP на маршрутизаторе создает несколько новых пакетов и копирует
заголовок в каждый из них (меняя признаки фрагментации). Соответствующая часть
данных помещается в информационное поле нового фрагмента (см. рис.). Размер
этой части должен быть кратен 8 байтам (кроме последнего пакета).
По стандарту каждый модуль IP должен быть способен передать пакет из 68
байт без дальнейшей фрагментации. Надо отметить, что IP-маршрутизаторы не
собирают фрагменты пакетов в более крупные пакеты, даже если на пути
встречается сеть, допускающая такое укрупнение. Это связано с тем, что
фрагменты в Интернет могут проходить по разным маршрутам.адрес имеет длину 32
бита и обычно записывается в виде 4-х чисел, представляющих значение каждого
байта в десятичной форме и разделенных точками. Например: 128.10.2.5 =
10000000000010100000001000000101
Адрес состоит из двух логических частей - номера сети и номера узла в
сети. В зависимости от того, сколько цифр в адресе используются для задания
номера сети, выделяют IP-адреса пяти классов: от A до E.
Сети класса А имеют адреса от 1 до 126 (0 - не используется, а 127 -
зарезервирован для специальных целей). Число узлов - 224 или
16777216.
В сети класса В может быть до 216 узлов или 65536.
Сеть класса С может иметь до 28 или 256 узлов.
Для сетей класса D задается групповой адрес multicast. Пакет будут
получать все члены группы, которым присвоен такой адрес.
Адреса класса Е зарезервированы для будущих применений. Если весь адрес -
одни нули, то он обозначает адрес того узла, который сгенерировал этот пакет.
Если в поле номера сети стоят одни нули - считается, что узел назначения
принадлежит той же сети, что и узел-отправитель. Если все разряды IP-адреса
равны 1, то пакет с таким адресом рассылается всем узлам, находящимся в той же
сети, что и узел-источник. Этот режим называется ограниченной широковещательной
рассылкой (limited broadcast). Если в поле номера узла назначения стоят только
единицы, то такой пакет рассылается всем узлам сети с заданным номером. Такой
режим определяется как широковещательное сообщение (broadcast). Например:
192.190.21.255 - сообщение рассылается всем узлам сети 192.190.21. Адрес с
первым байтом равным 127 используется для тестирования взаимодействия процессов
внутри одной машины. Образуется «петля» внутри одного узла-отправителя - данные
считаются только что принятыми. Этот адрес обозначается как loopback.
Применяются для установления более гибкой границы между номером сети и номером
узла.
Маска - это число, которое используется в паре с IP-адресом. Двоичная
запись маски содержит единицы в тех разрядах, которые должны в IP-адресе
интерпретироваться как номер сети. (Эти единицы должны представлять непрерывную
последовательность). Например, для класса С маска имеет вид: 255.255.255.0.
Может использоваться и другая запись. Например: 185.23.44.206/16
указывает на то, что для адреса сети используется 16 разрядов. Маска может
иметь произвольное число разрядов, например:
адрес: 129.64.134.5
Маска: 255.255.128.0, т.е. /17
Здесь маска указывает на то, что для адреса сети используются не 15 бит
(как в сети класса В), а 17 бит. Наложив маску на номер получим:
Номер сети: 129.64.128.0
Номер узла: 0.0.6.5
Механизм масок широко распространен в IP-маршрутизации. С их помощью
администратор может структурировать свою сеть, не требуя от поставщика услуг
дополнительных номеров сетей.
.3 Проблема защиты передаваемой информации по сети
В данном разделе рассматривается безопасность семейства IP-протоколов.
Описываются возможные виды атак.
Стек TCP/IP не обладает абсолютной защищенностью и допускает различные
типы атак. Для того, чтобы предпринять подобные атаки, злоумышленник должен
обладать контролем над одной из систем, подключенной к Internet. Это возможно,
например, в случае, когда злоумышленник взломал какую-то систему или использует
собственный компьютер, имеющий соединение с Internet (для многих атак
достаточно иметь PPP-доступ).
Атаки на TCP/IP можно разделить на два вида: пассивные и активные.
Пассивные атаки на уровне TCP. При данном типе атак злоумышленники никаким
образом не обнаруживают себя и не вступают напрямую во взаимодействие с другими
системами. Фактически все сводиться к наблюдению за доступными данными или
сессиями связи. Подслушивание заключается в перехвате сетевого потока и его
анализе.
Для осуществления подслушивания необходимо иметь доступ к машине,
расположенной на пути сетевого потока, который необходимо анализировать;
например, к маршрутизатору или PPP-серверу на базе UNIX. Если удастся получить
достаточные права на этой машине, то с помощью специального программного
обеспечения можно просматривать весь трафик, проходящий через заданные
интерфейс.
Второй вариант - злоумышленник получает доступ к машине, которая
расположена в одном сегменте сети с системой, которой имеет доступ к сетевому
потоку. Например, в сети "тонкий ethernet" сетевая карта может быть
переведена в режим, в котором она будет получать все пакеты, циркулирующие по
сети, а не только адресованной ей конкретно. В данном случае не требуется
доступ к UNIX - достаточно иметь PC с DOS или Windows (частая ситуация в
университетских сетях).
Поскольку TCP/IP-трафик, как правило, не шифруется, злоумышленник,
используя соответствующий инструментарий, может перехватывать TCP/IP-пакеты,
например, telnet-сессий и извлекать из них имена пользователей и их пароли.
Следует заметить, что данный тип атаки невозможно отследить, не обладая
доступом к системе злоумышленника, поскольку сетевой поток не изменяется.
Единственная надежная защита от подслушивания - шифрование TCP/IP-потока или
использование одноразовых паролей.
Другой вариант решения - использование интеллектуальных свитчей и UTP, в
результате чего каждая машина получает только тот трафик, что адресован ей.
Активные атаки на уровне TCP. При данном типе атак злоумышленник
взаимодействует с получателем информации, отправителем и/или промежуточными
системами, возможно, модифицируя и/или фильтруя содержимое TCP/IP-пакетов.
Данные типы атак часто кажутся технически сложными в реализации, однако для хорошего
программиста не составляет труда реализовать соответствующий инструментарий.
Активные атаки можно разделить на две части. В первом случае
злоумышленник предпринимает определенные шаги для перехвата и модификации
сетевого потока или попыток "притвориться" другой системой. Во втором
случае протокол TCP/IP используется для того, чтобы привести систему-жертву в
нерабочее состоянии.
Обладая достаточными привилегиями в Unix (или попросту используя DOS или
Windows, не имеющие системы ограничений пользователей), злоумышленник может
вручную формировать IP-пакеты и передавать их по сети. Естественно, поля
заголовка пакета могут быть сформированы произвольным образом. Получив такой
пакет, невозможно выяснить откуда реально он был получен, поскольку пакеты не
содержат пути их прохождения. Конечно, при установке обратного адреса не
совпадающим с текущим IP-адресом, злоумышленник никогда не получит ответ на
отосланный пакет.
Предсказание TCP sequence number. В данном случае цель злоумышленника -
притвориться другой системой, которой, например, "доверяет"
система-жертва.Hijacking. Если в предыдущем случае злоумышленник инициировал
новое соединение, то в данном случае он перехватывает весь сетевой поток,
модифицируя его и фильтруя произвольным образом. Метод является комбинацией
"подслушивания" и IP spoofing'а. Необходимые условия - злоумышленник
должен иметь доступ к машине, находящейся на пути сетевого потока и обладать
достаточными правами на ней для генерации и перехвата IP-пакетов.
Пассивное сканирование. Сканирование часто применяется злоумышленниками
для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на
запросы из сети. Обычная программа-сканер последовательно открывает соединения
с различными портами. В случае, когда соединение устанавливается, программа
сбрасывает его, сообщая номер порта.
.4 Постановка задачи
Как видно из предыдущих глав проблема защиты передаваемой информации в
сетях связи окончательно еще не решена, что уже является достаточным условием
для обоснования актуальности темы дипломного проекта.
Существующие способы маршрутизации пакетов сообщений обладают рядом
недостатков, среди которых отсутствие адаптации к изменениям структуры сети,
низкая скрытность связи и многое другое.
Выбрать маршрут передачи, значит определить последовательность транзитных
узлов сети, через которые надо передавать сообщения, чтобы доставить их
адресату. При этом выбор маршрута осуществляется в узлах сети операторов связи.
Наличие таких узлов обладающих низким уровнем безопасности, создает предпосылки
для перехвата злоумышленниками передаваемой информации о маршруте, что приводит
к снижению скрытности связи.
Мое разработанное техническое решение направлено на обеспечение
повышенной скрытности связи за счет управления маршрутами информационного
обмена между абонентами сети.
ВЫВОДЫ по разделу
. Представлены основные понятия и определения.
. Описаны модель и функционирование глобальной информационной сети Internet.
. Приведены протоколы передачи информации в сети Internet.
. Произведена оценка состояния проблемы обеспечения информационной
безопасности при работе в глобальной сети.
. Сформулированы задачи на дипломное проектирование.
2. АНАЛИЗ СУЩЕСТВУЮЩИХ СПОСОБОВ БЕЗОПАСНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ В СЕТИ
СВЯЗИ
.1 Способ продвижения транспортных потоков с гарантированным качеством
сервиса (QoS) в сети, работающей с протоколом IP
Известен способ выбора маршрута в соответствии с условиями занятости
сетевых ресурсов, реализованный в «Способе и системе продвижения транспортных
потоков с гарантированным качеством сервиса (QoS) в сети, работающей с протоколом IP» по патенту РФ № 2271614 МПК H06L 12/38, опубликованному 10.03.2006 г.
Способ заключается в том, что выбор маршрута доставки пакетов в сетях
связи выполняют менеджеры ресурсов сети доставки на уровне управления каналом
передачи, аналогично функции для услуг, требующих гарантированного качества
сервиса QoS. Для прохождения транспортных
потоков согласно пути, назначенного менеджером ресурсов в сети доставки,
контролируют пограничные маршрутизаторы в соответствии с условиями занятости
сетевых ресурсов. При этом назначение путей прохождения потоков осуществляют с
помощью технологии многоуровневого стека меток.
Недостатком данного способа является отсутствие адаптации к изменениям
структуры сети связи, а так же не полное использование качеств и условий
сетевых ресурсов для выбора пути прохождения потоков.
.2 Способы корректировки маршрутов в сети передачи данных
Известен так же способ обеспечения корректировки маршрутов к абонентам
сети, реализованный в «Способе корректировки маршрутов в сети передачи данных»
по патенту РФ №2220190 МПК H04L 12/28, опубликованный 10.10.1998 г.
Способ заключается в том, что поиск маршрутов доставки сообщений к
абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки.
Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному
корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации
и код признака корректировки "запись", "стирание".
Недостатком данного способа является так же отсутствие адаптации к
изменениям структуры сети связи. Это вызвано тем, что корректировка
осуществляется децентрализовано и охватывает не всю сеть связи, а ее отдельные
локальные участки. Отсутствие параметров выбора маршрутов к абоненту, что
приводит к низкому качеству выбора.
.3 Способ выбора целесообразным образом используемого маршрута в
маршрутизаторе для равномерного распределения в коммутационной сети
Наиболее близким по своей технической сущности к заявленному является
«Способ выбора целесообразным образом используемого маршрута в маршрутизаторе
для равномерного распределения в коммутационной сети» по заявке на изобретение
РФ №2004111798 МПК H04L 1/00, опубликованный 10.05.2005 г.
Способ-прототип заключается в том, что предварительно задают исходные
данные, содержащие критерии качества маршрутов. Запоминают в маршрутизаторе
информацию о структуре сети связи, включающую адреса узлов сети и наличие связи
между ними. Формируют совокупность возможных маршрутов связи. После получения
сообщения для целевого адреса сети выбирают один маршрут, в соответствии с
предварительно заданными критериями качества маршрутов и передают по выбранному
маршруту сообщения.
Известный способ-прототип устраняет недостатки аналогов, касающиеся
снижения качества выбора маршрута, что обусловлено введением критериев качества
маршрутов.
Однако недостатком указанного способа-прототипа является относительно
низкая скрытность связи при использовании выбранного маршрута информационного
обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким
уровнем безопасности, создает предпосылки для перехвата злоумышленниками
информационного обмена абонентов сети.
ВЫВОДЫ по разделу
Как видно из проведенного анализа, существующие способы безопасной
маршрутизации обладают рядом недостатков. К этим недостаткам относятся такие
как отсутствие адапрации к изменениям структуры сети, не полное использование
качеств и условий сетевых ресурсов для выбора пути прохождения потоков, низкая
скрытность связи при использовании выбранного маршрута информационного обмена
абонентов в сети, и многие другие.
Разработанные и описанные в дипломном проекте алгоритмы безопасной
маршрутизации , отличаются качественно новым подходок к решению проблемы
безопасности и направлены на устранение вышеперечисленных недостатков
недостатков.
3. АЛГОРИТМИЗАЦИЯ ЗАДАЧИ БЕЗОПАСНОЙ МАРШРУТИЗАЦИИ ПАКЕТОВ СООБЩЕНИЙ
.1 Модель первого алгоритма безопасной маршрутизации
Рис.
3.1
В
первом варианте способа поставленная цель достигается тем, что в известном
способе выбора безопасного маршрута в сети связи, заключающемся в том, что для
сети связи, содержащей X ≥
2 узлов сети предварительно задают исходные данные, запоминают информацию о
структуре сети связи, включающей адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N
возможных маршрутов связи, из которых выбирают один маршрут и передают по нему
сообщения. В предварительно заданные исходные данные дополнительно задают
структурный и идентификационный массивы, адрес сервера безопасности IPСБ, идентификаторы IDа и адреса IPа абонентов, подключенных к сети связи. Задают для
каждого x-го узла сети, где x = 1,2,…,Х, Y ≥ 2 параметров
безопасности и их значения bxy, где y = 1,2,…,Y. Вычисляют комплексный
показатель безопасности kx∑
для каждого x-го узла сети. Формируют матрицу смежности вершин
графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а так же информацию о наличии связи между
узлами и абонентами сети, а в идентификационном массиве запоминают
идентификаторы IDа, IDСБ и соответствующие им адреса IPа, IPСБ
абонентов сети и сервера безопасности. После этого формируют совокупность
возможных маршрутов связи между i-м и j-м абонентами сети, где i = 1,2,…, j =
1,2,…, и i ≠
j, в виде Nij деревьев графа
сети связи, причем каждое n-ое, где n = 1,2,…,Nij, дерево графа состоит из zn
вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для
каждого из Nij возможных маршрутов связи вычисляют средние показатели
безопасности как среднее арифметическое комплексных показателей
безопасности узлов сети, входящих в n-ый маршрут
связи. В качестве безопасного маршрута связи выбирают
маршрут с наибольшим значением его среднего показателя безопасности . При этом в случае нахождения нескольких маршрутов с
равными средними показателями безопасности выбирают из них маршрут с наименьшим
количеством входящих в него узлов zn. После этого
выбранный безопасный маршрут запоминают и формируют сообщения, включающие
запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы IDаj
и адреса IPаj всех j-х
абонентов. Отправляют сформированные сообщения всем i-м абонентам
сети. А для передачи сообщений между абонентами по идентификатору
абонента-получателя сообщения IDа выбирают
его адрес IPа и
безопасный маршрут и передают сообщение, включающее информацию об
используемом маршруте. При подключении нового абонента к сети связи, формируют
сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на
сервер безопасности, где его запоминают в структурном и идентификационном
массивах. Затем в сервере безопасности выбирают безопасные маршруты связи между
новым абонентом и всеми j-ми абонентами и запоминают их, после чего формируют
сообщения, включающие информацию о запомненных безопасных маршрутах связи, и
отправляют их всем абонентам сети.
Комплексный
показатель безопасности kx∑
для каждого x-го узла сети вычисляют путем суммирования, или
перемножения, или как среднее арифметическое значение его параметров
безопасности bxy.
Число
Nij деревьев графа сети связи между i-м и
j-м абонентами сети вычисляют по формуле:
,
где
- преобразованная матрица смежности вершин графа сети
связи, а M = Mр-1, K -
соответственно число строк и столбцов матрицы, Mр - число строк исходной матрицы смежности; равное
общему количеству узлов сети связи; -
транспонированная матрица к .
3.2
Модель второго алгоритма безопасной маршрутизации
Рис.
3.2
Во
втором варианте способа поставленная цель достигается тем, что в известном
способе выбора безопасного маршрута в сети связи, заключающемся в том, что для
сети связи, содержащей X ≥
2 узлов сети предварительно задают исходные данные, запоминают информацию о
структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N
возможных маршрутов связи, из которых выбирают один маршрут и передают по нему
сообщения. В предварительно заданные исходные данные дополнительно задают
структурный и идентификационный массивы, массив правил разграничения доступа,
адрес сервера безопасности IPСБ,
идентификаторы IDа и адреса
IPа
абонентов, подключенных к сети связи, данные о разграничении доступа между i-м и
j-м абонентами сети, где i = 1,2,…, j =
1,2,…, и i ≠
j. Задают для каждого x-го узла сети,
где x = 1,2,…,Х, Y ≥ 2 параметров безопасности и их значения bxy, где y = 1,2,…,Y. Вычисляют комплексный
показатель безопасности kx∑
для каждого x-го узла сети. Формируют матрицу доступа, для чего
запоминают в массиве правил разграничения доступа идентификаторы IDа абонентов и соответствующие им данные о разграничении
доступа. Затем формируют матрицу смежности вершин графа сети, для чего
запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а так же информацию о наличии связи между
узлами и абонентами сети, а в идентификационном массиве запоминают
идентификаторы IDа, IDСБ и соответствующие им адреса IPа, IPСБ
абонентов сети и сервера безопасности. При подключении нового абонента к сети
связи формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на
сервер безопасности, где его запоминают в структурном и идентификационном
массивах. Формируют у i-ого абонента запрос о возможности доступа к j-му
абоненту сети, включающий идентификаторы i-ого IDаi
и j-ого IDаj абонентов. Отправляют
запрос на сервер безопасности, где его запоминают. Проверяют по матрице доступа
наличие запрашиваемого доступа и при его отсутствии формируют и отправляют i-му
абоненту сети ответ об отсутствии его доступа к j-му абоненту
сети. При наличии доступа формируют совокупность возможных маршрутов связи
между i-м и j-м абонентами сети в виде Nij
деревьев графа сети связи, причем каждое n-ое, где n =
1,2,…,Nij, дерево графа состоит из zn
вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для
каждого из Nij возможных маршрутов связи между i-м и
j-м абонентами сети вычисляют средние показатели
безопасности как среднее арифметическое комплексных показателей
безопасности узлов сети, входящих в n-ый маршрут
связи. В качестве безопасного маршрута связи выбирают
маршрут с наибольшим значением его среднего показателя безопасности . В случае нахождения нескольких маршрутов с равными
средними показателями безопасности выбирают из них маршрут с наименьшим
количеством входящих в него узлов zn. После этого
выбранный безопасный маршрут запоминают, формируют сообщение, включающее
запомненный маршрут и адрес IPаj j-ого абонента. Отправляют сформированное сообщение i-му
абоненту сети. А для передачи сообщений между абонентами по идентификатору
абонента-получателя сообщения IDа выбирают
его адрес IPа и
безопасный маршрут и передают сообщение, включающее информацию об
используемом маршруте.
Комплексный
показатель безопасности kx∑
для каждого x-го узла сети вычисляют путем суммирования, или
перемножения, или как среднее арифметическое значение его параметров
безопасности bxy.
Число
Nij деревьев графа сети связи между i-м и
j-м абонентами сети вычисляют по формуле:
,
где
- преобразованная матрица смежности вершин графа сети
связи, а M = Mр-1, K -
соответственно число строк и столбцов матрицы, Mр - число строк исходной матрицы смежности; равное
общему количеству узлов сети связи; -
транспонированная матрица к .
3.3
Модель третьего алгоритма безопасной маршрутизации
Рис.
3.3
В
третьем варианте способа поставленная цель достигается тем, что в известном
способе выбора безопасного маршрута в сети связи, заключающемся в том, что для
сети связи, содержащей X ≥
2 узлов сети предварительно задают исходные данные, запоминают информацию о
структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N
возможных маршрутов связи, из которых выбирают один маршрут и передают по нему
сообщения. В предварительно заданные исходные данные дополнительно задают
структурный и идентификационный массивы, допустимый показатель безопасности
маршрута kдоп, адрес
сервера безопасности IPСБ,
идентификаторы IDа и адреса
IPа
абонентов, подключенных к сети связи. Задают для каждого x-го
узла сети, где x = 1,2,…,Х, Y ≥ 2 параметров безопасности и их значения bxy, где y = 1,2,…,Y. Вычисляют комплексный
показатель безопасности kx∑
для каждого x-го узла сети. Затем формируют матрицу смежности
вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а так же информацию о наличии связи между
узлами и абонентами сети. В идентификационном массиве запоминают идентификаторы
IDа, IDСБ и соответствующие им адреса IPа, IPСБ
абонентов сети и сервера безопасности. При подключении нового абонента к сети
связи, формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на
сервер безопасности, где его запоминают в структурном и идентификационном
массивах. Формируют у i-ого абонента запрос на безопасный маршрут к j-му
абоненту сети, где i = 1,2,…, j = 1,2,…, и i ≠ j, включающий
идентификаторы i-ого IDаi и j-ого
IDаj абонентов. Отправляют
запрос на сервер безопасности, где его запоминают. После этого формируют
совокупность возможных маршрутов связи между i-м и j-м
абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-ое,
где n = 1,2,…,Nij, дерево графа
состоит из zn вершин, соответствующих количеству принадлежащих ему
узлов сети. Затем для каждого из Nij возможных маршрутов связи вычисляют средние
показатели безопасности как среднее арифметическое комплексных показателей
безопасности узлов сети, входящих в n-ый маршрут
связи. В качестве безопасного маршрута связи выбирают
маршрут с наибольшим значением его среднего показателя безопасности . При этом в случае нахождения нескольких маршрутов с
равными средними показателями безопасности выбирают из них маршрут с наименьшим
количеством входящих в него узлов zn. Сравнивают средний
показатель безопасности выбранного маршрута с предварительно заданным
допустимым показателем безопасности маршрута kдоп. При выполнении условия < kдоп
формируют и отправляют i-му абоненту сети ответ об отсутствии безопасного
маршрута между i-м и j-м абонентами сети. А при выполнении условия ≥ kдоп, выбранный безопасный маршрут запоминают. Формируют
сообщение, включающее запомненный маршрут и адрес IPаj j-ого абонента. Отправляют сформированное сообщение i-му
абоненту сети. Для передачи сообщений между абонентами по идентификатору
абонента-получателя сообщения IDаj выбирают его адрес IPа и безопасный маршрут и
передают сообщение, включающее информацию об используемом маршруте.
Комплексный
показатель безопасности kx∑
для каждого x-го узла сети вычисляют путем суммирования, или
перемножения, или как среднее арифметическое значение его параметров
безопасности bxy.
Число
Nij деревьев графа сети связи между i-м и
j-м абонентами сети вычисляют по формуле:
,
алгоритмизация безопасный
информационный маршрутизация
где
- преобразованная матрица смежности вершин графа сети
связи, а M = Mр-1, K -
соответственно число строк и столбцов матрицы, Mр - число строк исходной матрицы смежности; равное
общему количеству узлов сети связи; -
транспонированная матрица к .
3.4
Модель четвертого алгоритма безопасной маршрутизации
Рис.
3.4
В
четвертом варианте способа поставленная цель достигается тем, что в известном
способе выбора безопасного маршрута в сети связи, заключающемся в том, что для
сети связи, содержащей X ≥
2 узлов сети предварительно задают исходные данные, запоминают информацию о
структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N
возможных маршрутов связи, из которых выбирают один маршрут и передают по нему
сообщения. В предварительно заданные исходные данные дополнительно задают
структурный и идентификационный массивы, массив соответствия рангов Rа абонентов и комплексных показателей безопасности kx∑
узлов сети, адрес сервера безопасности IPСБ, идентификаторы IDа, адреса IPа и соответствующие им ранги Rа ≥ 2 абонентов, подключенных к сети связи.
Задают для каждого x-го узла сети, где x = 1,2,…,Х, Y ≥ 2 параметров
безопасности и их значения bxy, где y = 1,2,…,Y. Вычисляют комплексный
показатель безопасности kx∑
для каждого x-го узла сети. Затем формируют матрицу смежности
вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а так же информацию о наличии связи между
узлами и абонентами сети. В идентификационном массиве запоминают идентификаторы
IDа, IDСБ и соответствующие им адреса IPа, IPСБ
абонентов сети и сервера безопасности. При подключении нового абонента к сети
связи, формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на
сервер безопасности, где его запоминают в структурном и идентификационном
массивах. Формируют у i-ого абонента запрос на безопасный маршрут к j-му
абоненту сети, где i = 1,2,…, j = 1,2,…, и i ≠ j, включающий
идентификаторы i-ого IDаi и j-ого
IDаj абонентов. Отправляют
запрос на сервер безопасности, где его запоминают. После этого формируют
совокупность возможных маршрутов связи между i-м и j-м
абонентами сети в виде Nij деревьев графа сети связи, причем каждое n-ое,
где n = 1,2,…,Nij, дерево графа
состоит из zn вершин, соответствующих количеству принадлежащих ему
узлов сети. Затем из Nij возможных маршрутов связи выбирают безопасный маршрут, для которого комплексные показатели безопасности knx∑
входящих в него узлов, соответствуют равному или более высокому рангу Rаi i-ого абонента сети. Запоминают безопасный маршрут . Формируют сообщение, включающее запомненный маршрут и адрес IPаj j-ого абонента, и отправляют сформированное сообщение i-му
абоненту сети. При отсутствии безопасного маршрута между i-м и
j-м абонентами сети формируют и отправляют i-му
абоненту сети ответ об отсутствии безопасного маршрута к j-му
абоненту сети. Для передачи сообщений между абонентами по идентификатору
абонента-получателя сообщения IDа выбирают
его адрес IPа и
безопасный маршрут и передают сообщение, включающее информацию об
используемом маршруте.
Комплексный
показатель безопасности kx∑
для каждого x-го узла сети вычисляют путем суммирования, или
перемножения, или как среднее арифметическое значение его параметров
безопасности bxy.
Число
Nij деревьев графа сети связи между i-м и
j-м абонентами сети вычисляют по формуле:
,
где
- преобразованная матрица смежности вершин графа сети
связи, а M = Mр-1, K -
соответственно число строк и столбцов матрицы, Mр - число строк исходной матрицы смежности; равное
общему количеству узлов сети связи; -
транспонированная матрица к .
.5
Модель пятого алгоритма безопасной маршрутизации
В
пятом варианте способа поставленная цель достигается тем, что в известном
способе выбора безопасного маршрута в сети связи, заключающемся в том, что для
сети связи, содержащей X ≥
2 узлов сети предварительно задают исходные данные, запоминают информацию о
структуре сети связи, включающую адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N
возможных маршрутов связи, из которых выбирают один маршрут и передают по нему
сообщения.
Рис.
3.5
В
предварительно заданные исходные данные дополнительно задают структурный и
идентификационный массивы, массив соответствия рангов Rинф передаваемой информации и комплексных показателей
безопасности kx∑
узлов сети, адрес сервера безопасности IPСБ, идентификаторы IDа, адреса IPа абонентов, подключенных к сети связи, и Rинф ≥ 2 рангов передаваемой информации. Задают для
каждого x-го узла сети, где x = 1,2,…,Х, Y ≥ 2 параметров
безопасности и их значения bxy, где y = 1,2,…,Y. Вычисляют комплексный
показатель безопасности kx∑
для каждого x-го узла сети. Затем формируют матрицу смежности
вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а так же информацию о наличии связи между
узлами и абонентами сети. А в идентификационном массиве запоминают
идентификаторы IDа, IDСБ и соответствующие им адреса IPа, IPСБ
абонентов сети и сервера безопасности. При подключении нового абонента к сети
связи, формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на
сервер безопасности, где его запоминают в структурном и идентификационном
массивах. Формируют у i-ого абонента запрос на безопасный маршрут к j-му
абоненту сети, где i = 1,2,…, j = 1,2,…, и i ≠ j, включающий
идентификаторы i-ого IDаi и j
-ого IDаj абонентов, и ранг Rинф
i передаваемой информации. Отправляют запрос на сервер
безопасности, где его запоминают. Далее формируют совокупность возможных
маршрутов связи между i-м и j-м абонентами сети в виде Nij
деревьев графа сети связи, причем каждое n-ое, где n =
1,2,…,Nij, дерево графа состоит из zn
вершин, соответствующих количеству принадлежащих ему узлов сети. Затем из Nij возможных маршрутов связи между i-м и
j-м абонентами сети выбирают безопасный маршрут , для которого комплексные показатели безопасности knx∑
входящих в него узлов, соответствуют равному или более высокому рангу Rинф
i передаваемой информации. Запоминают безопасный
маршрут . Формируют сообщение, включающее запомненный маршрут и адрес IPаj j-ого абонента. Отправляют сформированное сообщение i-му
абоненту сети. При отсутствии безопасного маршрута между i-м и
j-м абонентами сети формируют и отправляют i-му
абоненту сети ответ об отсутствии безопасного маршрута к j-му
абоненту сети. Для передачи сообщений между абонентами по идентификатору
абонента-получателя сообщения IDа выбирают
его адрес IPа и
безопасный маршрут и передают сообщение, включающее информацию об
используемом маршруте.
Комплексный
показатель безопасности kx∑
для каждого x-го узла сети вычисляют путем суммирования, или перемножения,
или как среднее арифметическое значение его параметров безопасности bxy.
Число
Nij деревьев графа сети связи между i-м и
j-м абонентами сети вычисляют по формуле:
,
где
- преобразованная матрица смежности вершин графа сети
связи, а M = Mр-1, K -
соответственно число строк и столбцов матрицы, Mр - число строк исходной матрицы смежности; равное
общему количеству узлов сети связи; -
транспонированная матрица к .
.6
Работа алгоритмов безопасной маршрутизации
Реализация
заявленного способа объясняется следующим образом. Известно, что для
обеспечения информационного обмена абонентов в сети связи осуществляется выбор
маршрута связи из совокупности возможных маршрутов между абонентами сети.
Выбрать маршрут передачи сообщений - значит определить последовательность
транзитных узлов сети, через которые надо передавать сообщения, чтобы доставить
их адресату. Определение маршрута сложная задача, особенно когда между парой
абонентов существует множество маршрутов. Задача определения маршрутов состоит
в выборе из всего этого множества одного или нескольких маршрутов по некоторому
критерию. Однако в существующих способах выбора маршрутов, как правило, в
качестве критериев выбора выступают, например, номинальная пропускная
способность; загруженность каналов связи; задержки, вносимые каналами;
количество промежуточных транзитных узлов сети; надежность каналов и транзитных
узлов сети. При этом выбор маршрута осуществляется в узлах сети
(маршрутизаторах) операторов связи. На каждом из узлов сети маршрут
определяется самостоятельно, и первоначальный маршрут не всегда совпадает с
конечным. Наличие транзитных узлов сети, обладающих низким уровнем
безопасности, создает предпосылки для перехвата злоумышленниками
информационного обмена абонентов сети, что приводит к снижению скрытности
связи. Таким образом, возникает противоречие между требованием по обеспечению
скрытности связи и существующими способами выбора маршрутов информационного
обмена в сети связи. На устранение указанного противоречия направлен заявленный
способ (варианты).
Первый
вариант заявленного способа реализуют следующим образом. В общем случае сеть
связи (рис. 3.6) представляет собой совокупность из X узлов сети 1,
сервера безопасности 2 и абонентов сети 3, объединенных физическими линиями
связи 4.
Количество узлов сети X
больше или равно двум. Все эти элементы определяются идентификаторами, в
качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (IP-адреса). При необходимости распределенной обработки
информации и (или) ее передачи абоненты осуществляют подключение к сети связи.
Множество адресов подключенных к сети связи абонентов и узлов сети не
пересекаются.
Рис. 3.6
Передача сообщений между абонентами сети осуществляется через узлы сети
при наличии связи между ними, для чего из совокупности всех возможных маршрутов
связи выбирают один. Связи между элементами сети характеризуются только двумя
значениями, наличие связи и ее отсутствие. Остальные параметры линий связи
считаются постоянными и не учитываются, так как наиболее вероятным и более
просто реализуемым способом несанкционированного перехвата информационного
обмена в сети связи является подключение к ее узлам.
На рис. 3.1 представлена блок-схема последовательности действий,
реализующих первый вариант заявленного способа выбора безопасного маршрута в
сети связи, в которой приняты следующие обозначения:
{IP} - структурный массив;
{ID} - идентификационный массив;
IPСБ - сетевой адрес сервера
безопасности;
IDа - идентификатор абонента;
IPа - сетевой адрес абонента;
Y -
число учитываемых параметров безопасности узлов сети;
bxy - значение y-го
параметра безопасности x-го
узла сети, где x = 1,2,…,Х, y = 1,2,…, Y;
kx∑ - комплексный показатель безопасности каждого x-го узла сети;
Nij - количество деревьев графа сети связи, соответствующее
совокупности возможных маршрутов связи между i-м и j-м абонентами
сети, где i = 1,2,…, j = 1,2,…, и i ≠ j;
-
средний показатель безопасности маршрута связи между i-м и j-м
абонентами сети;
-
безопасный маршрут связи между i-м и j-м абонентами сети;
zn -
количество вершин n-ого дерева графа, где n = 1,2,…,Nij, соответствующее количеству принадлежащих ему узлов
сети;
СБ
- сервер безопасности.
На
начальном этапе в сервере безопасности (на рис 3.6 - СБ) задают исходные
данные, включающие структурный {IP} и идентификационный {ID} массивы,
адрес сервера безопасности IPСБ,
идентификаторы IDа и адреса
IPа
абонентов, подключенных к сети связи, а так же для каждого x-го
узла сети, где x = 1,2,…,Х, Y ≥ 2 параметров безопасности и их значения bxy, где y = 1,2,…,Y, которые сведены в таблицу
(рис. 3.7).
Рис
3.7
Структурный
массив {IP} - массив для хранения адреса сервера безопасности IPСБ, адресов узлов IPУС и абонентов IPа сети, а так же информации о наличии связи между ними
(рис. 3.8), которая характеризуется только двумя значениями, "1" -
наличие связи и "0" - ее отсутствие.
Рис.
3.8
Идентификационный
массив {ID} - массив для хранения идентификаторов сервера
безопасности IDСБ, абонентов
IDа сети
связи и соответствующих им адресов абонентов сети IPа и сервера безопасности IPСБ (рис. 3.9).
Рис
3.9
Параметры
безопасности узлов сети определяют, например, в соответствии с ГОСТ Р ИСО/МЭК
15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий».
Значения
bx1 параметра
y = 1 безопасности узлов сети определяют, например, по
характеристикам производителей оборудования узлов сети, информацию о которых
можно получить из физических адресов узлов сети. Физические адреса узлов сети
представляют в виде шестнадцатеричной записи, например 00:10:5а:3F:D4:E1,
где первые три значения определяют производителя (00:01:е3 - Siemens,
00:10:5а - 3Com, 00:03:ba - Sun).
Например,
для УС1 физический адрес которого 00:01:е3:3F:D4:E1,
первые три значения определяют производителя Siemens, что
соответствует значению параметра безопасности b11 = 0,3. Аналогично определяются значения bx1
параметра y = 1 безопасности узлов сети УС2 - УС5, а так же
значения bxy всех заданных Y ≥ 2 параметров безопасности.
В
качестве остальных параметров безопасности узла сети можно рассматривать тип
его оборудования, версию установленного на нем программного обеспечения,
принадлежность узла государственной или частной организации.
Для
каждого x-го узла сети по значениям bxy
его параметров безопасности вычисляют комплексный показатель безопасности kx∑.
Рассчитанные показатели представлены в таблице (рис. 3.10).
Рис.
3.10
Комплексный
показатель безопасности kx∑
для каждого x-го узла сети вычисляют путем суммирования
,
или
перемножения
,
или
как среднее арифметическое значение
его
параметров безопасности bxy.
Принципиально
способ вычисления kx∑ не
влияет на результат выбора безопасного маршрута. Например, значения вычисленных
комплексных показателей безопасности kx∑ для каждого x-го узла рассматриваемого
варианта сети связи перечисленными способами при заданных значениях параметров
безопасности bxy узлов
приведены в таблице (рис. 3.11).
Узлы сети Х = 5
|
Параметры безопасности
узлов сети Y = 3
|
|
Комплексный показатель безопасности
x-ого узла kx∑
|
|
y = 1
|
y = 2
|
y = 3
|
|
∑ bxy
|
∏ bxy
|
(∑ bxy ) ∕Y
|
x = 1
|
0,3
|
0,13
|
|
0,4
|
|
0,83
|
0,0156
|
0,276666667
|
x = 2
|
0,3
|
0,16
|
|
0,4
|
0,0192
|
0,286666667
|
x = 3
|
0,2
|
0,1
|
|
0,34
|
|
0,64
|
0,0068
|
0,213333333
|
x = 4
|
0,5
|
0,2
|
|
0,25
|
|
0,95
|
0,025
|
0,316666667
|
x = 5
|
0,05
|
0,08
|
|
0,01
|
|
0,14
|
0,00004
|
0,046666667
|
Рис. 3.11
Далее формируют матрицу смежности вершин графа сети, для чего запоминают
в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа
сети, а так же информацию о наличии связи между узлами и абонентами сети.
Способы формирования матриц смежности вершин графа известны (см.,
например, Конечные графы и сети. Басакер Р., Саати Т., М, 1973, 368с.). Для
рассматриваемого графа сети связи матрица смежности вершин имеет вид:
После
этого в идентификационном массиве запоминают идентификаторы IDа, IDСБ и
соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности.
Формируют
совокупность возможных маршрутов связи между i-м и j-м
абонентами сети, где i = 1,2,…, j = 1,2,…, и i ≠ j, в виде Nij деревьев графа сети связи (рис. 3.12).
Каждое n-ое, где n = 1,2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству
узлов сети.
Общее число Nij
деревьев графа сети связи между i-м и j-м абонентами сети может быть
определено различными методами. В заявленном способе общее число Nij деревьев графа находят с
использованием матрицы смежности.
Удаляя
любую строку матрицы B, например, строку 1, получают матрицу Bо и транспонированную к ней матрицу :
Рис.
3.12
Число
Nij деревьев графа сети связи между i-м и
j-м абонентами сети получают путем произведения матриц Bо и , и
последующего нахождения его определителя, т.е.:
Построение
маршрутов связи между абонентами на основе деревьев графа сети связи
обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е.
исключает неприемлемые для передачи сообщений замкнутые маршруты.
Для
обоснования и объективного выбора безопасного маршрута связи из совокупности Nij = 5 возможных маршрутов связи между i-м и
j-м абонентами сети вычисляют средние показатели
безопасности как среднее арифметическое комплексных показателей
безопасности узлов сети, входящих в n-ый маршрут
связи
.
Используя
результаты, полученные при вычислении комплексных показателей безопасности
узлов сети разными способами, вычислены средние показатели безопасности маршрутов связи сформированных между i-м и
j-м абонентами сети. Результаты сведены в таблицу (рис.
3.13).
Маршруты Nij = 5
|
Номера узлов в n-м маршруте
|
Количество узлов zn в n-м
маршруте
|
Средний показатель
безопасности n-ого маршрута
|
n = 1
|
123
|
3
|
0,78
|
0,0139
|
0,26
|
n = 2
|
1234
|
4
|
0,82
|
0,0167
|
0,27
|
n = 3
|
12345
|
5
|
0,68
|
0,0133
|
0,23
|
n = 4
|
235
|
3
|
0,55
|
0,0087
|
0,18
|
n = 5
|
2345
|
4
|
0,65
|
0,0128
|
0,22
|
Рис. 3.13
В
качестве безопасного маршрута связи между i-м и
j-м абонентами сети выбирают маршрут с наибольшим
значением его среднего показателя безопасности .
Возможен случай, когда будут найдены несколько маршрутов с равными средними
показателями безопасности. В таком случае выбирают из найденных маршрутов самый
короткий маршрут, т.е. маршрут с наименьшим количеством входящих в него узлов zn. После этого выбранный маршрут запоминают. Из полученных результатов
приведенных в таблице видно, что при всех рассмотренных способах вычисления
второй маршрут n = 2 имеет наибольшие значения среднего показателя
безопасности , которые выделены полужирным шрифтом. Можно сделать
вывод, что способ вычисления kx∑ не
влияет на результат выбора безопасного маршрута. Таким образом, формируют
множество маршрутов между всеми абонентами сети.
Далее
формируют сообщения, включающие запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы IDаj
и адреса IPаj всех j-х
абонентов. После этого отправляют сформированные сообщения всем i-м
абонентам сети. Таким образом, каждого абонента сети уведомляют о безопасных
маршрутах ко всем остальным абонентам.
Для
передачи сообщений между абонентами по идентификатору абонента-получателя
сообщения IDа выбирают
его адрес IPа и
безопасный маршрут к нему, после чего передают сообщение
абоненту-получателю по заданному маршруту. Известные протоколы маршрутизации (routing protocols), такие как RIP, OSPF, NLSP,
BGP предназначены для передачи пользовательской
информации и обеспечивают в способе маршрутизации от источника (source specified routing) обмен информацией по
заданному маршруту. Таким образом, у абонентов имеется возможность передачи
сообщений именно по заданному безопасному маршруту.
При
подключении нового абонента к сети связи, формируют у него сообщение,
содержащее адрес узла сети УС 4 IPУ4 к
которому он подключен, его идентификатор IDан и адрес IPан. Отправляют сформированное сообщение на сервер
безопасности, где его запоминают в структурном и идентификационном массивах,
дополняя (обновляя) таким образом, информацию о структуре сети связи и
абонентах сети.
В
сервере безопасности аналогично описанному выше способу выбирают безопасные
маршруты связи между новым абонентом и всеми j-ми абонентами
и запоминают их. Формируют сообщение, включающее информацию о запомненных
безопасных маршрутах связи ко всем j-ым абонентам сети и отправляют
его новому абоненту. Формируют сообщения, включающие информацию о запомненных
безопасных маршрутах связи от каждого j-ого абонента сети к новому
абоненту и отправляют их j-ым абонентам сети. Таким образом, нового абонента
сети уведомляют о безопасных маршрутах ко всем абонентам сети, а остальных
абонентов уведомляют о безопасных маршрутах к новому абоненту.
Таким
образом, в первом варианте способа путем задания информации о структуре сети
связи, исходных данных об узлах и абонентах сети, и расчета комплексных
показателей безопасности узлов сети, осуществляется выбор безопасных маршрутов
в сети связи из совокупности всех возможных маршрутов связи между абонентами и
доведение безопасного маршрута до абонентов сети, что обеспечивает достижение
сформулированного технического результата - повышение скрытности связи за счет
управления маршрутами информационного обмена абонентов в сети связи.
Отличие
второго варианта способа от первого заключается в следующем. Также как и в
первом варианте для достижения сформулированного технического результата, т. е.
повышения скрытности связи, задают исходные данные об узлах и абонентах сети.
Дополнительно задают правила разграничения доступа между абонентами сети,
определяющие наличие доступа между каждой парой абонентов. Выбор безопасного
маршрута между абонентами сети осуществляют только по запросу абонента, причем
только в случае, когда это разрешено предварительно заданными на сервере
безопасности правилами доступа. В противном случае абоненту отказывают в
доступе.
На
рис. 3.2 представлена блок-схема последовательности действий, реализующих
второй вариант заявленного способа выбора безопасного маршрута в сети связи, в
которой приняты следующие обозначения:
{SP} -
массив правил разграничения доступа.
Остальные
обозначения имеют тот же смысл, как и в рассмотренном первом варианте.
На
начальном этапе аналогично, как и в первом варианте способа, в сервере
безопасности (на фиг. 1 - СБ) задают исходные данные.
В
исходные данные, в отличие от первого варианта способа, дополнительно задают
массив {SP} правил разграничения доступа и данные о
разграничении доступа между i-м и j-м абонентами сети, где i = 1,2,…, j =
1,2,…, и i ≠
j.
После
задания исходных данных аналогично, как и в первом варианте способа, для
каждого x-го узла сети по значениям bxy
его параметров безопасности вычисляют комплексный показатель безопасности kx∑.
Рассчитанные показатели представлены в таблице (фиг. 3г).
Далее,
в отличие от первого варианта способа, формируют матрицу доступа, для чего
запоминают в массиве {SP} правил разграничения доступа идентификаторы IDа абонентов и соответствующие им данные о разграничении
доступа, которые характеризуются только двумя значениями, "1" -
наличие доступа i-ого абонента к j-му абоненту
сети и "0" - отсутствие доступа (рис. 3.14).
Рис
3.14
Далее
аналогично, как и в первом варианте способа, формируют матрицу смежности вершин
графа сети.
При
подключении нового абонента к сети связи, также как и в первом варианте
способа, формируют у него сообщение, содержащее адрес узла сети УС 4 IPУ4 к которому он подключен, его идентификатор IDан и адрес IPан. Отправляют сформированное сообщение на сервер
безопасности, где его запоминают в структурном и идентификационном массивах,
дополняя (обновляя) таким образом, информацию о структуре сети связи и
абонентах сети.
В
отличие от первого варианта способа, для осуществления передачи сообщений от i-ого
абонента сети к j-му необходимо получить у сервера безопасности
разрешение на передачу и при наличии разрешения безопасный маршрут. В связи с
этим, формируют у i-ого абонента запрос о возможности доступа к j-му
абоненту сети, включающий идентификаторы i-ого IDаi
и j-ого IDаj абонентов. Отправляют
запрос на сервер безопасности, где его запоминают. Проверяют по матрице доступа
наличие запрашиваемого доступа и при его отсутствии формируют и отправляют i-му
абоненту сети ответ об отсутствии его доступа к j-му абоненту
сети.
При
наличии у i-ого абонента доступа к j-му абоненту
сети аналогично, как и в первом варианте способа, формируют совокупность
возможных маршрутов связи между i-м и j-м абонентами сети в виде Nij
деревьев графа сети связи, вычисляют средние показатели безопасности . Выбирают безопасный маршрут связи между i-м и j-м абонентами сети и запоминают его. Таким образом,
формируют безопасный маршрут связи между i-м и j-м
абонентами по запросу i-ого абонента сети.
Далее
формируют сообщение, включающее запомненный маршрут между i-м и j-м абонентами, и адрес IPаj j-ого абонента. После этого отправляют сформированное
сообщение i-му абоненту сети. Таким образом, i-ого
абонента сети уведомляют о безопасном маршруте связи к j-му абоненту
сети.
Для
передачи сообщений между абонентами по идентификатору абонента-получателя
сообщения IDа
аналогично, как и в первом варианте способа, выбирают его адрес IPа и безопасный маршрут к нему,
после чего передают сообщение абоненту-получателю по заданному маршруту.
Таким
образом, во втором варианте способа также обеспечивается достижение
сформулированного технического результата - повышения скрытности связи.
Отличие
третьего варианта способа от второго заключается в следующем. Также как и во
втором варианте, для достижения сформулированного технического результата, т.
е. повышения скрытности связи, задают исходные данные об узлах и абонентах
сети. Дополнительно задают допустимый показатель безопасности маршрута. Выбор
безопасного маршрута между абонентами сети также осуществляют только по запросу
абонента. Однако уведомляют абонента о безопасном маршруте связи только в том
случае, когда существует маршрут, удовлетворяющий предварительно заданному
допустимому показателю безопасности. В противном случае абоненту отказывают в
доступе.
На
рис. 3.3 представлена блок-схема последовательности действий, реализующих
третий вариант заявленного способа выбора безопасного маршрута в сети связи, в
которой приняты следующие обозначения:
kдоп - допустимый показатель безопасности маршрута.
Остальные
обозначения имеют тот же смысл, как и в рассмотренном первом варианте.
На
начальном этапе аналогично, как и во втором варианте способа, в сервере
безопасности задают исходные данные.
В
исходные данные, в отличие от второго варианта способа, не задают массив {SP}
правил разграничения доступа и данные о разграничении доступа между абонентами
сети. Дополнительно, по сравнению со вторым вариантом, задают допустимый
показатель безопасности маршрута kдоп.
После
задания исходных данных аналогично, как и во втором варианте способа, для
каждого x-го узла сети по значениям bxy
его параметров безопасности вычисляют комплексный показатель безопасности kx∑.
В
отличие от второго варианта способа не требуется формирование матрицы доступа,
поэтому далее, формируют матрицу смежности вершин графа сети.
При
подключении нового абонента к сети связи, также как и во втором варианте
способа, формируют у него сообщение, содержащее адрес узла сети УС 4 IPУ4 к которому он подключен, его идентификатор IDан и адрес IPан. Отправляют сформированное сообщение на сервер
безопасности, где его запоминают в структурном и идентификационном массивах,
дополняя (обновляя) таким образом, информацию о структуре сети связи и
абонентах сети.
Аналогично,
как и во втором варианте способа, формируют у i-ого абонента
запрос на безопасный маршрут к j-му абоненту сети, включающий идентификаторы i-ого
IDаi и j-ого
IDаj абонентов. Отправляют
запрос на сервер безопасности, где его запоминают.
Далее,
также как и во втором варианте способа, формируют совокупность возможных
маршрутов связи между i-м и j-м абонентами сети в виде Nij
деревьев графа сети связи, вычисляют средние показатели безопасности и выбирают безопасный маршрут связи между i-м и j-м абонентами сети. Таким образом, формируют
безопасный маршрут связи между i-м и j-м абонентами по запросу i-ого абонента
сети.
Сравнивают,
в отличие от второго варианта способа, средний показатель безопасности выбранного маршрута с предварительно заданным
допустимым показателем безопасности маршрута kдоп. Например, пусть допустимый показатель безопасности
маршрута kдоп = 0,9.
Тогда для выбранного n = 2 безопасного маршрута связи между i-м и j-м абонентами сети, представленного на фиг. 4а
выполняется условие < kдоп. При
выполнении этого условия формируют и отправляют i-му абоненту
сети ответ об отсутствии безопасного маршрута между i-м и j-м
абонентами сети.
При
выполнении условия ≥ kдоп, например, допустимый показатель безопасности
маршрута kдоп = 0,7
выбранный n = 2 безопасный маршрут связи между i-м и
j-м абонентами, также как и во втором варианте способа,
запоминают и формируют сообщение, включающее запомненный маршрут и адрес IPаj j-ого абонента.
После
этого отправляют сформированное сообщение i-му абоненту
сети. Таким образом, i-ого абонента сети уведомляют о безопасном маршруте
связи к j-му абоненту сети.
Для
передачи сообщений между абонентами по идентификатору абонента-получателя
сообщения IDа
аналогично, как и во втором варианте способа, выбирают его адрес IPа и безопасный маршрут к нему,
после чего передают сообщение абоненту-получателю по заданному маршруту.
Таким
образом, в третьем варианте способа также обеспечивается достижение
сформулированного технического результата - повышения скрытности связи.
Отличие
четвертого варианта способа от третьего заключается в следующем. Также как и в
третьем варианте для достижения сформулированного технического результата, т.е.
повышения скрытности связи, задают исходные данные об узлах и абонентах сети.
Дополнительно задают ранги абонентов сети. Выбор безопасного маршрута между
абонентами сети осуществляют только по запросу абонента и в соответствии с
предварительно заданными рангами абонентов сети. В случае отсутствия
безопасного маршрута связи абоненту сообщают об этом.
На
рис. 3.4 представлена блок-схема последовательности действий, реализующих
четвертый вариант заявленного способа выбора безопасного маршрута в сети связи,
в которой приняты следующие обозначения:
{R} -
массив соответствия рангов Rа
абонентов и комплексных показателей безопасности kx∑ узлов сети;
Rа - ранг абонентов сети.
Остальные
обозначения имеют тот же смысл, как и в рассмотренном первом варианте.
На
начальном этапе аналогично, как и в третьем варианте способа, в сервере
безопасности задают исходные данные.
В
исходные данные, в отличие от третьего варианта способа, не задают допустимый
показатель безопасности маршрута kдоп.
Дополнительно, по сравнению со вторым вариантом способа, задают массив
соответствия {R} рангов Rа абонентов и комплексных показателей безопасности kx∑
узлов сети. В массив {R} заносят ранги Rа ≥ 2 абонентов и соответствующие им значения
комплексных показателей безопасности kx∑ узлов сети. Например, рангу абонента Rа = 1 соответствуют значения комплексных показателей
безопасности kx∑
узлов сети от 0 до 0,2.
После
задания исходных данных аналогично, как и в третьем варианте способа, для
каждого x-го узла сети по значениям bxy
его параметров безопасности вычисляют комплексный показатель безопасности kx∑.
Рассчитанные показатели представлены в таблице.
Далее,
также как и в третьем варианте способа, формируют матрицу смежности вершин
графа сети.
При
подключении нового абонента к сети связи, также как и в третьем варианте
способа, формируют у него сообщение, содержащее адрес узла сети УС 4 IPУ4 к которому он подключен, его идентификатор IDан и адрес IPан. Отправляют сформированное сообщение на сервер
безопасности, где его запоминают в структурном и идентификационном массивах,
дополняя (обновляя) таким образом, информацию о структуре сети связи и
абонентах сети.
Аналогично,
как и в третьем варианте способа, формируют у i-ого абонента
сети запрос на безопасный маршрут к j-му абоненту, включающий
идентификаторы i-ого IDаi и j-ого
IDаj абонентов. Отправляют
запрос на сервер безопасности, где его запоминают.
Далее,
также как и в третьем варианте способа, формируют совокупность возможных
маршрутов связи между i-м и j-м абонентами сети в виде Nij
деревьев графа сети связи.
В
отличие от третьего варианта способа, выбирают безопасный маршрут связи между i-м и j-м абонентами сети, для которого комплексные
показатели безопасности knx∑
входящих в него узлов, соответствуют равному или более высокому рангу Rаi i-ого абонента сети. Например, для i-ого
абонента сети с Rаi = 1 комплексные
показатели безопасности knx∑
узлов входящие в выбранный безопасный маршрут связи находятся в диапазоне значений от 0 до 0,2 (рис.
3.15).
Рис.
3.15
Таким
образом, выбирают безопасный маршрут связи между i-м и j-м
абонентами по запросу i-ого абонента сети и в соответствии с предварительно
заданными рангами абонентов сети.
Далее,
также как и в третьем варианте способа, запоминают безопасный маршрут . Формируют сообщение, включающее запомненный маршрут и адрес IPаj j-ого абонента, и отправляют сформированное сообщение i-му
абоненту сети.
При
отсутствии безопасного маршрута между i-м и j-м абонентами
сети, т.е. в случае, когда среди возможных маршрутов связи между абонентами нет
маршрута, в котором комплексные показатели безопасности узлов, входящих в него,
соответствуют рангу абонента, формируют и отправляют i-му абоненту
сети ответ об отсутствии безопасного маршрута к j-му абоненту
сети.
Для
передачи сообщений между абонентами по идентификатору абонента-получателя
сообщения IDа
аналогично, как и в третьем варианте способа, выбирают его адрес IPа и безопасный маршрут к нему,
после чего передают сообщение абоненту-получателю по заданному маршруту.
Таким
образом, в четвертом варианте способа также обеспечивается достижение
сформулированного технического результата - повышения скрытности связи.
Отличие
пятого варианта способа от четвертого заключается в следующем. Также как и в
четвертом варианте, для достижения сформулированного технического результата,
т. е. повышения скрытности связи, задают исходные данные об узлах и абонентах
сети. Дополнительно задают ранги передаваемой информации. Выбор безопасного
маршрута между абонентами сети осуществляют только по запросу абонента и в
соответствии с предварительно заданными рангами передаваемой информации. В
случае отсутствия безопасного маршрута связи абоненту сообщают об этом.
На
рис. 3.5 представлена блок-схема последовательности действий, реализующих пятый
вариант заявленного способа выбора безопасного маршрута в сети связи, в которой
приняты следующие обозначения:
{R} -
массив соответствия рангов Rинф
передаваемой информации и комплексных показателей безопасности kx∑
узлов сети;
Rинф - ранг передаваемой информации.
Остальные
обозначения имеют тот же смысл, как и в рассмотренном первом варианте.
На
начальном этапе аналогично, как и в четвертом варианте способа, в сервере
безопасности задают исходные данные.
В
исходные данные в отличие от четвертого варианта способа не задают ранги
абонентов сети. Дополнительно, по сравнению с четвертым вариантом задают массив
{R} ранги Rинф
передаваемой информации и комплексных показателей безопасности kx∑
узлов сети.
В
массив {R} заносят ранги Rинф ≥ 2 передаваемой информации и соответствующие
им значения комплексных показателей безопасности kx∑ узлов сети. Например, рангу передаваемой информации Rинф = 1 соответствуют значения комплексных показателей
безопасности kx∑
узлов сети от 0 до 0,2 (рис. 3.16).
Рис.
3.16
После
задания исходных данных аналогично, как и в четвертом варианте способа, для
каждого x-го узла сети по значениям bxy
его параметров безопасности вычисляют комплексный показатель безопасности kx∑.
Далее,
так же, как и в четвертом варианте способа, формируют матрицу смежности вершин
графа сети.
При
подключении нового абонента к сети связи, также как и в четвертом варианте
способа, формируют у него сообщение, содержащее адрес узла сети УС 4 IPУ4 к которому он подключен, его идентификатор IDан и адрес IPан. Отправляют сформированное сообщение на сервер
безопасности, где его запоминают в структурном и идентификационном массивах,
дополняя (обновляя) таким образом, информацию о структуре сети связи и
абонентах сети.
Аналогично,
как и в четвертом варианте способа, формируют у i-ого абонента
запрос на безопасный маршрут к j-му абоненту сети, включающий идентификаторы i-ого
IDаi и j-ого
IDаj абонентов. Дополнительно,
в отличие от четвертого варианта способа, включают ранг передаваемой информации
Rинф i.
Далее,
так же, как и в четвертом варианте способа, отправляют запрос на сервер
безопасности, где его запоминают. Формируют совокупность возможных маршрутов
связи между i-м и j-м абонентами сети в виде Nij
деревьев графа сети связи.
В
отличие от четвертого варианта способа, выбирают безопасный маршрут связи между i-м и j-м абонентами сети, для которого комплексные
показатели безопасности knx∑
входящих в него узлов, соответствуют равному или более высокому рангу Rинф
i передаваемой информации. Например, для i-ого
абонента сети с Rинф i = 1
комплексные показатели безопасности knx∑ узлов входящие в выбранный безопасный маршрут связи находятся в диапазоне значений от 0 до 0,2. Таким
образом, выбирают безопасный маршрут связи между i-м и j-м
абонентами по запросу i-ого абонента сети и в соответствии с предварительно
заданными рангами передаваемой информации.
Все
последующие действия пятого варианта способа аналогичны действиям четвертого
варианта.
Таким
образом, в пятом варианте способа также обеспечивается достижение
сформулированного технического результата - повышения скрытности связи.
Вычисляемые
комплексные показатели безопасности knx∑ узлов входящих в сформированные маршруты связи дают
основание для объективной оценки выбранных безопасных маршрутов связи между
абонентами сети и позволяют учитывать необходимые и достаточные условия для
выбора безопасного маршрута в сети связи.
На
рисунке (рис. 3.17) представлен пример выбора безопасного маршрута в сервере
безопасности 1 между i-м и j-м абонентами 2 в сети связи.
Рис.
3.17
Пример
вычисленных комплексных показателей безопасности knx∑
узлов сети 3 и их значения параметров безопасности bxy
представлен в таблице (рис. 3.18).
Рис.
3.18
Из
представленного примера видно, что при использовании заявленного способа
(вариантов) выбора безопасного маршрута, достигается исключение транзитных
узлов сети, обладающих низким уровнем безопасности, который указывает на
высокую вероятность несанкционированного перехвата передаваемых абонентами
сообщений. В данном примере УС5 имеющий комплексный показатель безопасности k5∑ и значения параметров безопасности b5y
выделенные полужирным шрифтом в таблице. Таким образом, выбранный безопасный
маршрут связи, выделенный жирными линиями 4 на фиг. 11а, между i-м и
j-м абонентами 2 проходит через транзитные узлы сети,
обладающие максимально высокими уровнями безопасности, что снижает вероятность
перехвата злоумышленниками информационного обмена абонентов сети.
ВЫВОДЫ
по разделу
Благодаря
новой совокупности существенных признаков в каждом из вариантов заявленного
способа (вариантов) путем задания информации о структуре сети связи, исходных
данных об узлах и абонентах сети, и расчета комплексных показателей
безопасности узлов сети, осуществляется выбор безопасных маршрутов в сети связи
из совокупности всех возможных маршрутов связи между абонентами и доведение
безопасного маршрута до абонентов сети, что обеспечивает достижение
сформулированного технического результата - повышения скрытности связи за счет
управления маршрутами информационного обмена абонентов в сети связи.
На
основании этих результатов можно сделать вывод о том, что в заявленном способе
при использовании любого из вариантов выбора безопасного маршрута в сети связи
обеспечивается повышение скрытности связи за счет управления маршрутами
информационного обмена абонентов в сети связи, т. е. реализуется
сформулированная цель создания заявленных изобретений.
4.
ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ
Экономическое
обоснование эффективности проводимой в дипломной работе совершенствования
алгоритмов безопасной маршрутизации пакетов сообщений в глобальных
информационных сетях направлено на доказательство актуальности тематики
исследований для решения прикладных задач развития науки и техники, а также на
оценку научно-технического уровня полученных результатов исследований.
.1
Концепция экономического обоснования проведенной работы
Итогом
поисковых исследований, направленных на анализ результатов фундаментальных
исследований с целью установления возможности, целесообразности и путей
использования, выявленных в конкретной области науки и техники явлений и
закономерностей, явилось создание принципиально нового подхода, и как следствие
разработанного алгоритма безопасной маршрутизации пакетов сообщений.
Стремительное
развитие сетевых технологий требует не менее стремительного изменения
программно аппаратных средств, как передачи, так и защиты сетей. Сегодня все
чаще и чаще возникают повышенные требование к безопасной работе в сети, будь-то
ЛВС или другая глобальная сеть. Любое открытие или совершенствование способа
передачи цифровой информации требует немедленного анализа наличия уязвимости
разработанного способа. И как следствие разработки комплекса мер по защите
передаваемой информации. Вопрос безопасности выступает на первый план, как
обязательная необходимость, результатом чего и явилась разработка технического
решения.
4.2
Трудоемкость и календарный план
Календарный
план разработки алгоритмов безопасной маршрутизации пакетов сообщений можно
представить в виде следующей последовательности:
1) Сбор научно-технической документации, изучаемой области, анализ
недостатков в системе работы сетей связи.
Данный вид деятельности, впрочем, как и все остальные проводились
квалифицированными работниками отдела, имеющими соответствующее образование и
опыт работы с сетевыми технологиями.
2) Выбор конкретной области тематики (в данном случае защита)
3) Составление аналитического обзора по теме защиты сетевых
технологий
) Проведение исследования патентов имеющихся работ по обеспечению
безопасности работы в сети
На этом этапе работы принимались решения о содействии не только
работников специалистов в области сетевых технологий, но и математиков
программистов, так как разработка технического решения содержит преимущественно
математическую модель работы.
5) Непосредственная разработка качественно новых алгоритмов
Следует отметить, что последний этап работы по длительности превышает все
вышеупомянутые. Работа велась в условиях постоянного контакта всех сотрудников
отдела их непрерывного диалога, несмотря на четкое разграничение работ и
постановку задач для каждого из сотрудников отдела.
Наглядный обобщенный календарный план работ, включающий все вышеописанные
этапы сведен воедино в таблице 5.1.
Таблица 5.1
Ленточный график проведения разработки технического решения
№
|
Этапы работы
|
Исполнитель
|
Численность, чел.
|
Длительность, дни
|
1
|
Сбор научно-технической
документации
|
Инженер
|
2
|
5
|
2
|
Выбор конкретной области
тематики
|
Инженер
|
1
|
1
|
3
|
Составление аналитического
обзора
|
Руководитель
|
1
|
5
|
4
|
Проведение патентных
исследований
|
Инженер
|
2
|
10
|
5
|
Непосредственная разработка
|
Инженер
|
5
|
90
|
№
|
Продолжительность работ,
дни
|
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
17
|
18
|
19
|
…
|
111
|
1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
…
|
|
.3 Смета затрат
В данном подразделе рассчитываются затраты, связанные с проведением
разработки. Основные статьи калькуляции приведены в таблице. При проведении
расчетов были использованы следующие статьи:
Материалы - затраты на сырье, основные вспомогательные материалы,
покупные полуфабрикаты.
Спецоборудование - затраты на приобретение специальных стендов, и другого
необходимого оборудования.
Расходы на оплату труда - заработная плата сотрудников.
Отчисления на социальные нужды - затраты связанные с выплатой единого
социального налога.
Прочие прямые расходы - расходы на получение специальной научно
технической информации, платежи за использование средств связи и коммуникации.
Таблица 5.2
Смета затрат
№
|
Статья калькуляции
|
Сумма, р.
|
1
|
Материалы, в том числе:
|
|
|
Компьютерный стол 6 шт.
|
33 000,00
|
|
Компьютер Р4 512Мб 6 шт.
|
123 000,00
|
|
Монитор ж. к. BENQ 19
(FP91G P) 6 шт.
|
60 000,00
|
|
Принтер Canon BJ3000 1 шт.
|
5 560,00
|
2
|
Спецоборудование в том
числе:
|
|
|
Fast Hub 12 port 1 шт.
|
1 250,00
|
3
|
Расходы на оплату труда
|
388 500,00
|
4
|
Отчисления на социальные
нужды
|
71 040,00
|
5
|
Дополнительная заработная
плата
|
42 735,00
|
6
|
Прочие прямые расходы, в
том числе:
|
|
|
Бумага для принтера (500
листов)
|
120,00
|
|
Сетевой кабель (витая пара
4, 100м)
|
800,00
|
|
Обжимной инструмент (8 pin)
|
3 500,00
|
|
Наконечники (8 pin, 20 шт.)
|
50,00
|
|
Internet ресурс (1500 Mb)
|
1 050,00
|
|
Электроэнергия
|
300,00
|
7
|
Получение патента на
разрабатываемый метод
|
3 300,00
|
ИТОГО себестоимость
|
734 205,00
|
.4 Расчёт себестоимости
В разработке участвуют: начальник отдела (руководитель проекта), 1
математик инженер, 4 программиста, сроки проведения работ 111 дней. Ставка
начальника отдела - 30 000 руб. в месяц, программиста и математика инженера -
15000 руб. в месяц. Таким образом, можно рассчитать основную заработную плату
за все дни проведения работ:
Сзо = 111*30 000/30 + 5*111*15 000/30 = 388 500 руб.
Дополнительная заработная плата составляет 11% от суммы основной
зарплаты;
Сзд = 388 500 *0,11 = 42 735 руб.
Отчисления на социальные нужды: 2007г. - 16 % (Из учета регрессивной
шкалы т. к. зарплата ниже 400 000 руб.).
Ссн = 111*30000*0.16/30 + 6*111*15000*0.16/30 = 71 040 руб.
.5 Комплексная оценка эффективности проведенной работы
В данном разделе приводятся все составляющие эффекта проведенной научной
работы.
Научно-техническим эффектом разработки метода безопасной маршрутизации
пакетов сообщений является незамедлительная востребованность в реализации
разработанного алгоритма. Масштабы использования не ограничиваются рамками
отечества. Предвидится широкое использование метода и за рубежом: в США и
странах европейского союза.
Социальный эффект состоит в достижении высокого уровня социальной
направленности разработанного метода, за счет широкого распространения новых
систем, протоколов, отвечающих современным нормативным требованиям, в
достижении качественно нового уровня передачи данных в результате роста
безопасности этой передачи, повышение социальных гарантий, базирующихся на
более высоком уровне безопасной связи как в глобальных информационных сетях,
так и в ЛВС.
В связи с развитием в последние годы негосударственного сектора экономики
и расширением сферы применения автоматизированных систем обработки информации и
управления в сфере предпринимательской деятельности, проблема защиты информации
стала выходить за традиционные рамки. В настоящее время количество
регистрируемых противоправных действий в информационной области неуклонно
растет. Известны, например, многочисленные случаи, когда потеря информации
наносит существенный ущерб [29]. Подсчитано, что потеря банком 20-25%
информации ведет к его разорению [30].
Необходимость в разработке средств защиты информации в области телекоммуникационных
систем связана с тем, что существует множество субъектов и структур, весьма
заинтересованных в чужой информации и готовых заплатить за это высокую цену.
В таких условиях все более широко распространяется мнение, что защита
информации должна по своим характеристикам быть соразмерной масштабам угроз.
Для каждой системы имеется оптимальный уровень защищенности, который и нужно
поддерживать.
ВЫВОДЫ по разделу
На основании того, что путем внедрения разработанной системы защиты
клиент - например, коммерческий банк может предотвратить свое разорение, можно
сделать вывод, что реализация и внедрение проекта для него экономически
целесообразно.
5. ОХРАНА
ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ
Рассмотрение вопросов охраны интеллектуальной собственности при
выполнении дипломного проектирования.
5.1 Определение интеллектуальной собственности
Понятие интеллектуальной собственности, как особого вида гражданских
прав, является новым для российского законодательства. Интеллектуальная
собственность, согласно ст. 138 ГК РФ [2], это исключительное право на
результаты интеллектуальной деятельности, в частности на изобретения, полезные
модели, промышленные образцы, программы для ЭВМ и другие определенные
законодательством объекты интеллектуальной собственности. К числу объектов
интеллектуальной собственности (исключительного права) относят и так называемые
"средства индивидуализации" юридического лица, товаров и услуг
(товарные знаки и т.п.). В зависимости от механизма возникновения прав
существуют два основных правовых института, регулирующих отношения в сфере
интеллектуальной собственности, - патентное право и авторское право. Право в
отношении объектов интеллектуальной собственности - есть охраняемая законом
монополия на их использование. Преимущество правообладателя связано с тем, что
без его разрешения никто не имеет права использовать соответствующий объект
интеллектуальной собственности, сущность которого, как правило, раскрыта
обществу.
.2 Объекты интеллектуальной собственности
К объектам интеллектуальной собственности относятся:
) произведения науки, искусства и литературы, включая программы для
электронных вычислительных машин и базы данных;
) исполнения, фонограммы, передачи организаций эфирного или кабельного
вещания;
) изобретения;
) полезные модели;
) промышленные образцы;
) открытия;
) рационализаторские предложения;
) селекционные достижения;
) топологии интегральных микросхем;
) фирменные наименования;
) товарные знаки и знаки обслуживания;
) наименования мест происхождения товаров;
) сведения, составляющие служебную или коммерческую тайну;
) иные результаты интеллектуальной деятельности и приравненные к ним
средства индивидуализации, охраняемые в соответствии с законами и
международными договорами Российской Федерации.
.3 Личные неимущественные права интеллектуальной собственности
. Право авторства, право на имя и иные личные неимущественные права
интеллектуальной собственности осуществляются и защищаются в соответствии с
настоящим Кодексом и другими законами.
. Личные неимущественные права интеллектуальной собственности охраняются
бессрочно.
. Личные неимущественные права интеллектуальной собственности являются
неотчуждаемыми, если иное не предусмотрено законом или не вытекает из существа
этих прав.
. Полный или частичный отказ создателя (автора, исполнителя) результата
творческой деятельности от принадлежащих ему личных неимущественных прав на
такой результат ничтожен.
. Личные неимущественные права на результаты творческой деятельности
независимы от имущественных прав на такие объекты интеллектуальной
собственности.
. В случаях, предусмотренных законом, отдельные личные неимущественные
права интеллектуальной собственности могут признаваться за юридическими лицами.
.4 Имущественные права интеллектуальной собственности
. Обладатель имущественных прав интеллектуальной собственности вправе по
своему усмотрению осуществлять, разрешать и запрещать использование
соответствующего объекта интеллектуальной собственности любым способом и в
любой форме, кроме случаев, когда настоящим Кодексом или другим законом
установлено иное.
. Имущественные права в отношении объекта интеллектуальной собственности
могут принадлежать одному лицу или нескольким лицам совместно. В случаях,
предусмотренных законом, имущественные права в отношении одного и того же
объекта интеллектуальной собственности, могут принадлежать разным лицам и
осуществляться ими независимо друг от друга.
. Взаимоотношения по использованию объекта интеллектуальной
собственности, права на который принадлежат нескольким лицам совместно,
определяются соглашением между ними. При отсутствии такого соглашения каждый из
них вправе обратиться с иском в суд для разрешения спора об осуществлении
имущественных прав интеллектуальной собственности.
.5 Результат разработки технического решения
В процессе дипломного проектирования были разработаны алгоритмы защиты
безопасной маршрутизации пакетов сообщений через глобальную информационную
сеть. Результатом этих разработок явилась заявки на изобретение-способ:
«Способ (варианты) выбора безопасного маршрута в сети связи»
Обладателем данного патента является Репа Евгений Васильевич.
Соответствующие документы (формулы изобретений и копии заявлений о выдаче
патента РФ на изобретение) прилагаются.
ФОРМУЛА ИЗОБРЕТЕНИЯ
Способ
выбора безопасного маршрута в сети связи, заключающийся в том, что для сети
связи, содержащей X ≥
1 узлов сети предварительно задают исходные данные, запоминают информацию о
структуре сети связи, включающей адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N ≥ 1 возможных маршрутов
связи, из которых выбирают один маршрут и передают по нему сообщения,
отличающийся тем, что в исходные данные задают структурный и идентификационный
массивы, адрес сервера безопасности IPСБ, идентификаторы IDа и адреса IPа абонентов, подключенных к сети связи, задают для
каждого x-го узла сети, где x = 1,2,…,Х, Y ≥ 1 параметров
безопасности и их значения bxy, где y = 1,2,…,Y, вычисляют комплексный
показатель безопасности kx∑
для каждого x-го узла сети, формируют матрицу смежности вершин
графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а так же информацию о наличии связи между
узлами и абонентами сети, а в идентификационном массиве запоминают
идентификаторы IDа, IDСБ и соответствующие им адреса IPа, IPСБ
абонентов сети и сервера безопасности, после чего формируют совокупность
возможных маршрутов связи между i-м и j-м абонентами сети, где i = 1,2,…, j =
1,2,…, и i ≠
j, в виде Nij деревьев графа
сети связи, причем каждое n-ое, где n = 1,2,…,Nij, дерево графа состоит из zn
вершин, соответствующих количеству принадлежащих ему узлов сети, затем для
каждого из Nij возможных маршрутов связи между i-м и
j-м абонентами сети вычисляют средние показатели
безопасности как среднее арифметическое комплексных показателей
безопасности узлов сети, входящих в n-ый маршрут
связи и в качестве безопасного маршрута связи выбирают
маршрут с наибольшим значением его среднего показателя безопасности , причем в случае нахождения нескольких маршрутов с
равными средними показателями безопасности выбирают из них маршрут с наименьшим
количеством входящих в него узлов zn, после чего
выбранный безопасный маршрут запоминают и формируют сообщения, включающие
запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы IDаj
и адреса IPаj всех j-х
абонентов, отправляют сформированные сообщения всем i-м абонентам
сети, а для передачи сообщений между абонентами по идентификатору
абонента-получателя сообщения IDа выбирают
его адрес IPа и
безопасный маршрут и передают сообщение, включающее информацию об
используемом маршруте, причем при подключении нового абонента к сети связи,
формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан, после чего отправляют сформированное сообщение на сервер
безопасности, где его запоминают в структурном и идентификационном массивах,
затем в сервере безопасности выбирают безопасные маршруты связи между новым
абонентом и всеми j-ми абонентами и запоминают их, после чего формируют
сообщения, включающие информацию о запомненных безопасных маршрутах связи, и
отправляют их всем абонентам сети.
1. Способ по п.1, отличающийся тем, что комплексный показатель
безопасности kx∑ для каждого x-го узла сети вычисляют путем суммирования, или перемножения,
или как среднее арифметическое значение его параметров безопасности bxy.
2. Способ по п.1, отличающийся тем, что число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:
,
-
транспонированная матрица к
ДОГОВОР
УСТУПКИ ПРАВ НА ИНТЕЛЛЕКТУАЛЬНУЮ СОБСТВЕННОСТЬ
г. Санкт-Петербург, "" 200 г.
Правообладатель гражданин Репа Евгений Васильевич, именуемый в дальнейшем
"Передающая Сторона", с одной стороны, и Санкт-Петербургский
Государственный Электротехнический Университет «ЛЭТИ» имени В.И. Ульянова
(Ленина), именуемый в дальнейшем "Получающая Сторона", в лице
проректора Кутузова В.М., действующего на основании Устава, с другой стороны,
заключили договор о нижеследующем:
. ПРЕДМЕТ ДОГОВОРА
.1 Правообладатель интеллектуальной собственности в соответствии со ст.
128 РФ уступает “получающей стороне” исключительные права на интеллектуальную
собственность под названием «Способ выбора безопасного маршрута в сети связи»
по патенту РФ №2271614 МПК Н06L
12/38 от 10.03.2006г.
.2 Уступаемые исключительные права состоят в следующем:
.2.1 Использовать метод в программно-аппаратных средствах сетевых
технологий.
. ПОРЯДОК ОПЛАТЫ
.1 За уступку (куплю-продажу) прав на интеллектуальную собственность
принимающая сторона выплачивает передающей стороне вознаграждение в
соответствии с приложением, являющимся неотъемлемой частью данного договора.
.2 Оплата производится в рублях на счет, указанный автором, в
соответствии с приложением к данному договору на текущий календарный год.
.3 Сумма и порядок выплат автору в соответствии с данным договором
определяется в приложении к настоящему договору на очередной календарный год
путем.
. ПРАВА И ОБЯЗАННОСТИ СТОРОН
.1 Правообладатель гарантирует что права не уступались и не передавались
третьим лицам ранее и не будут переданы или уступлены в течение срока действия
данного договора.
.2 Принимающая сторона имеет право использовать данный способ в
некоммерческих целях в качестве образца собственной продукции
.3 Принимающая сторона имеет право переуступать принадлежащее ему по
данному договору исключительные права третьим лицам на срок не превышающий срок
действия договора.
. ПОРЯДОК РАСТОРЖЕНИЯ ДОГОВОРА
.1 Договор может быть расторгнут по согласованию сторон в случае не
договоренности сторон о сумме выплат на следующий год.
.2 Сумма выплат за очередной год не должна быть менее суммы 48000 у. е. и
не должна превышать 120% от суммы выплат указанных в Приложении к данному
договору за прошедший год.
.3 Договор не может быть расторгнут со стороны передающей стороны в
случае если принимающая сторона гарантирует сумму выплат за очередной год
равную 120% от суммы выплат указанных в Приложении к данному договору за
предыдущий год.
.4 В случае недоговоренности сторон о сумме выплат на следующий год до
1-го декабря текущего года, приложение к договору за предыдущий год
автоматически пролонгируется на следующий календарный год.
.5 В случае досрочного расторжения договора одной из сторон другая
сторона должна быть оповещена об этом письменно не позднее чем за один год до
даты расторжения договора и Приложения к договору за предыдущий год
автоматически пролонгируется на следующий календарный год.
. СРОК ДЕЙСТВИЯ ДОГОВОРА
.1 Договор вступает в силу с момента подписания и действует до 01 августа
2010 г.
.2 Договор автоматически пролонгируется на один год, если одна из сторон
не уведомила другую в письменном виде о прекращении действия данного договора
не позднее чем за один месяц до окончания его срока действия.
. ПОРЯДОК ПРИЕМА-ПЕРЕДАЧИ СПОСОБА
.1 Передающая сторона передает исключительные права в форме пригодной для
зрительного восприятия и использования в коммерческих целях.
.2 Прием-передача оформляется двухсторонним актом приема-передачи.
. ОТВЕТСТВЕННОСТЬ СТОРОН
За неисполнение или ненадлежащее исполнение обязательств по настоящему
договору передающая и принимающая сторона несут ответственность в соответствии
с действующим законодательством.
ЮРИДИЧЕСКИЕ АДРЕСА СТОРОН
Передающая Сторона:
, Санкт-Петербург, ул. Торжковская д. 15, кв. 4
Получающая Сторона:
, Санкт-Петербург, ул. Проф. Попова, д. 5.
ПОДПИСИ СТОРОН
ЗАКЛЮЧЕНИЕ
В дипломном проекте было проанализировано текущее состояние проблемы
обеспечения информационной безопасности при работе в информационных
вычислительных сетях, обоснована необходимость разработки алгоритмов безопасной
маршрутизации. Проведен анализ существующих способов маршрутизации пакетов
сообщений, обладающих рядом недостатков. Все это позволило четко сформулировать
задачи для дипломного проектирования. Для реализации поставленных целей были
применены качественно новые подходы в управлении маршрутами информационного
обмена. Функционирование каждого шага алгоритма продемонстрировано на примере
глобальной сети с небольшим количеством узлов связей, но с реальными
параметрами составляющих ее.
Проведенный анализ уровня техники позволил установить, что аналоги,
характеризующиеся совокупностью признаков, тождественных всем признакам
заявленного способа, отсутствуют. Результаты поиска известных решений в данной
и смежных областях техники показали, что общие признаки не следуют явным
образом из уровня техники. Таким образом, новизна подхода очевидна.
Экономическая эффективность применения предложенных технических решений
обоснована.
Таким образом, поставленные на дипломное проектирование задачи выполнены,
а цель дипломного проекта достигнута - разработаны алгоритмы безопасной
маршрутизации пакетов сообщений через глобальную информационную сеть.
СПИСОК ЛИТЕРАТУРЫ
1. Устинов
Г.Н. Основы информационной безопасности систем и сетей передачи данных. Учебное
пособие. Серия «Безопасность». - М.: СИНТЕГ, 2000, 248 с.
. ГОСТ
34.003. Информационная технология. Комплекс стандартов на автоматизированные
системы. Автоматизированные системы. Термины и определения.
. ГОСТ
Р.51624. Защита информации. Автоматизированные системы в защищенном исполнении.
Общие требования.
. ГОСТ
Р.51583. Защита информации. Порядок создания автоматизированных систем в
защищенном исполнении. Общие положения.
. Конеев
И.Р., Беляев А.В. Информационная безопасность предприятия. - СПб.:
БХВ-Петербург, 2003. - 752 с.: ил.
.
Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через «Internet»/ Под
научной редакцией проф. Зегжды П.Д. - М.: ДМК, 1999. - 336с.
. Герасименко
В.А. Защита информации в автоматизированных системах обработки данных. В 2-х
кн. Кн. 1. М: - Энергоатомиздат 1994.
. Есиков О.В.
Математическая модель оптимизации состава комплекса средств защиты информации
современных автоматизированных систем обработки данных. // Приборы и системы.
Управление, контроль, диагностика. 2000. №4.
. Мельников
В.В. Защита информации в компьютерных системах. -М.: Финансы и статистика;
Электроинформ. 1997.
. Курушин
В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. -
М.: Право и Закон. 1998.
. Есиков
О.В., Кислицын А.С. и др. Оптимизация состава комплекса средств защиты
информации в системах передачи и обработки информации. // Радиотехника. 2001.
№12.
.
Моделирование развивающихся систем. Глушков В.М., Иванов В.В., Яненко В.М. -
М.: Наука. Главная редакция физико-математической литературы, 1983. 350 с.
. Гаценко
О.Ю. Защита информации. Основы организационного управления. СПб.: Изд. дом
«Сентябрь», 2001. 228 с.
. В.Г.
Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы: Учебник
для вузов. 2-е изд. - СПб.:Питер,2003.-864 с.: ил.
. Просихин
В.П., Чураев Л.А. Алгоритмизация проектирования архитектуры безопасности
распределенных вычислительных систем // Проблемы информационной безопасности. -
1999. - №4.
. Костров
Д.В. Рынок систем обнаружения компьютерных атак // Защита информации.
Конфидент. - 2002. - №6.
. Основные
положения развития Взаимоувязанной сети связи Российской Федерации на
перспективу до 2005 года. Руководящий документ. Справочное приложение 2.
Словарь основных терминов и определений. - М.: НТУОТ Минсвязи России, 1996.
. Максимов
Р.В., Левчук С.А., Стародубцев Ю.И. Методика идентификации типа компьютерной
атаки на абонентские пункты учреждений. Деп. Рукопись. - М.: ЦВНИ МО РФ,
справка № 11410. Серия Б. Выпуск № 54. Инв. В4571, 2001.
. Павловский
А.В., Максимов Р.В. и др. Способ контроля информационных потоков в цифровых
сетях связи. Патент РФ по заявке №2004121529 от 13.07.04. 22 с.
. Павловский
А.В., Максимов Р.В. и др. Способ защиты вычислительных сетей от
несанкционированных воздействий. Патент РФ по заявке №2004127625 от 15.09.04.
27 с.
. Павловский
А.В., Максимов Р.В. и др. Способ защиты вычислительных сетей от
несанкционированных воздействий. Патент РФ по заявке №2005113117 от 20.01.05.
33 с.
. Растригин
Л.А. Современные принципы управления сложными объектами. - М.: Сов. радио,
1980. - 232 с. ил.
. Павловский
А.В., Максимов Р.В. Концептуальная модель контроля технологического обмена в
автоматизированных системах. Тезисы конференции. Военно-техническая
конференция, посвященная 109-летию изобретения радио, Санкт-Петербург,
Военно-транспортный университет железнодорожных войск РФ, 2004г. 2 с.
. Кульгин М.
Технологии корпоративных сетей. Энциклопедия. - СПб.: Издательство «Питер»,
1999. - 704 с.: ил.
. Золотов С.
Протоколы Internet - СПб.: BHV - Санкт-Петербург, 1998. - 304 с., ил.
. Лукацкий А.
В. Обнаружение атак. - СПб.: БХВ - Петербург, 2001. - 624 с.: ил.
. Павловский
А.В., Максимов Р.В. Новые технические решения в области защиты
автоматизированных систем от преднамеренных деструктивных воздействий. Тезисы
конференции. Всероссийская НПК «Инновационная деятельность в ВС РФ» 2004 г. 3
с.
. Павловский
А.В., Максимов Р.В., Стародубцев Ю.И. Новые технические решения в области
защиты телекоммуникационных систем. Научно-технический сборник. - СПб.: ВАС,
2005, №8.
. Калинцев
Ю.К. Конфиденциальность и защита информации. Учебное пособие. - М.: МТУСИ. -
1997. - 60 с.
. Гуров А.И.
Инфосервис. // Системы безопасности. - 1995. №1.